高危漏洞預警更新!8月Windows RDS漏洞(CVE-2019-1181,CVE-2019-1182)
- 2019 年 10 月 6 日
- 筆記
遠程桌面服務(Remote Desktop Services )高危漏洞,攻擊者可以利用該漏洞在無需用戶交互的情況下實現蠕蟲攻擊或攻擊指定伺服器。騰訊安全團隊自該漏洞安全公告發布之後,第一時間予以關注。通過研究,騰訊安全團隊已構造出POC,目前可穩定重現漏洞。
在本周三微軟更新的一系列修補程式中,包含類似之前「BlueKeep」的遠程桌面服務(Remote Desktop Services )高危漏洞,攻擊者可以利用該漏洞在無需用戶交互的情況下實現蠕蟲攻擊或攻擊指定伺服器。
漏洞危害
高危
攻擊者一旦成功觸發該漏洞,便可以在目標系統上執行任意程式碼,該漏洞的觸發無需任何用戶交互操作。——意味著,存在漏洞的電腦只要聯網,勿須任何操作,就可能遭遇黑客遠程攻擊,運行惡意程式碼。
這類攻擊可能導致蠕蟲病毒爆發,就如前些年我們看到衝擊波病毒、震蕩波病毒,以及WannaCry勒索蠕蟲病毒爆發類似。
騰訊安全團隊自該漏洞安全公告發布之後,第一時間予以關注。通過研究,騰訊安全團隊已構造出POC,目前可穩定重現漏洞。
(影片demo)
漏洞影響範圍
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1 Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems Windows RT 8.1 Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1703 for 32-bit Systems Windows 10 Version 1703 for x64-based Systems Windows 10 Version 1709 for 32-bit Systems Windows 10 Version 1709 for 64-based Systems Windows 10 Version 1709 for ARM64-based Systems Windows 10 Version 1803 for 32-bit Systems Windows 10 Version 1803 for ARM64-based Systems Windows 10 Version 1803 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 for x64-based Systems Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server, version 1803 (Server Core Installation) Windows Server, version 1903 (Server Core installation)
不受影響的Windows版本:Windows XP,Windows Server 2003和Windows Server 2008(非R2版本)不受影響,遠程桌面協議(RDP)本身也不受影響。
安全提醒
更新修補程式:RDS漏洞修補程式(KB4512486)
1)採用更加簡單粗暴的解決辦法:禁用遠程桌面服務,開始->運行,輸入"services.msc「,回車,在服務列表中找到」Remote Desktop Services「,直接禁用。
2)通過配置企業防火牆,阻斷未經安全驗證的IP連接遠程桌面服務的埠(默認為3389)
3)啟用網路級認證(NLA),此方案適用於Windows 7、Windows Server 2008和Windows Server 2008 R2。啟用NLA後,攻擊者需要使用目標系統上的有效帳戶對遠程桌面服務進行身份驗證,因而提高了攻擊門檻
