漏洞预警更新:8月Windows RDS漏洞(CVE-2019-1181,CVE-2019-1182)

2019-08-16 00:16:55
远程桌面服务(Remote Desktop Services )高危漏洞,攻击者可以利用该漏洞在无需用户交互的情况下实现蠕虫攻击或攻击指定服务器。腾讯安全团队自该漏洞安全公告发布之后,第一时间予以关注。通过研究,腾讯安全团队已构造出POC,目前可稳定重现漏洞。

在本周三微软更新的一系列补丁中,包含类似之前“BlueKeep”的远程桌面服务(Remote Desktop Services )高危漏洞,攻击者可以利用该漏洞在无需用户交互的情况下实现蠕虫攻击或攻击指定服务器。

一、漏洞危害:高危

攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作。——意味着,存在漏洞的计算机只要联网,勿须任何操作,就可能遭遇黑客远程攻击,运行恶意代码。

这类攻击可能导致蠕虫病毒爆发,就如前些年我们看到冲击波病毒、震荡波病毒,以及WannaCry勒索蠕虫病毒爆发类似。

腾讯安全团队自该漏洞安全公告发布之后,第一时间予以关注。通过研究,腾讯安全团队已构造出POC,目前可稳定重现漏洞。


(视频demo

二、漏洞影响范围

Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for 64-based Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)
Windows Server, version 1903 (Server Core installation)


不受影响的Windows版本:
Windows XPWindows Server 2003Windows Server 2008(非R2版本)不受影响,远程桌面协议(RDP)本身也不受影响。

四、安全建议

1.个人用户

腾讯电脑管家已升级漏洞库,个人用户使用腾讯电脑管家的漏洞修复功能安装补丁即可解决风险,不用担心遭遇攻击。

2.企业用户

企业用户可以使用腾讯御点终端安全管理系统扫描安装RDS漏洞补丁(KB4512486),腾讯御点具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

此外还建议使用腾讯御知监测互联网资产是否有暴露风险。

腾讯御知(yuzhi.qq.com)是一款主动探测网络资产并识别其风险的产品。依托腾讯安全多年来累积的丰富指纹库和漏洞信息,通过远程主动扫描发现和识别网络设备、系统和应用等网络资产与服务,对其持续进行安全扫描、漏洞检测,发现风险分级预警,并提供专业的修复建议,降低客户网络资产的安全威胁。

部分企业生产环境若安装补丁有困难,或并不使用远程桌面服务的用户,可采取其他缓解措施(该措施同样适用于个人用户)

1)采用更加简单粗暴的解决办法:禁用远程桌面服务,开始->运行,输入"services.msc“,回车,在服务列表中找到”Remote Desktop Services“,直接禁用。

2)通过配置企业防火墙,阻断未经安全验证的IP连接远程桌面服务的端口(默认为3389

3)启用网络级认证(NLA),此方案适用于Windows 7Windows Server 2008Windows Server 2008 R2。启用NLA后,攻击者需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,因而提高了攻击门槛。


参考资料
https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/


最新资讯