"

北京时间2019年5月15日微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌面服务（RDP）远程代码执行漏洞，该漏洞在不需身份认证的情况下即可远程触发，危害与影响面极大。

目前，EXP代码已被公开发布至metasploit-framework的Pull requests中，经测试已经可以远程代码执行。强烈建议用户立即安装相应的补丁或采取其他缓解措施以避免受到相关的威胁。

2019年5月15日监测到此漏洞后，我们立即使用奇安信全球鹰系统分析发现国内总共有1543410台主机对外开放3389端口，可能受到漏洞影响。

奇安信安全监测与响应中心将持续关注该漏洞进展，并第一时间为您更新该漏洞信息。

文档信息

文档名称

Windows远程桌面服务远程代码执行漏洞安全预警通告第八次更新

关键字

Windows、远程代码执行、CVE-2019-0708

发布日期

2019年09月07日

分析团队

奇安信安全监测与响应中心、奇安信威胁情报中心

漏洞描述

Windows 远程桌面服务（RDP）主要用于管理人员对 Windows 服务器进行远程管理，使用量极大。近日微软官方披露Windows中的远程桌面服务中存在远程代码执行漏洞，未经身份认证的攻击者可使用RDP协议连接到目标系统并发送精心构造的请求可触发该漏洞。成功利用此漏洞的攻击者可在目标系统上执行任意代码，可安装应用程序，查看、更改或删除数据，创建完全访问权限的新账户等。此漏洞主要影响的设备为Windows7、Window Server 2008以及微软已不再支持的Windows2003、WindowXP操作系统，涉及系统在国内依然有大量的使用，所以此漏洞的影响面巨大，到2019年9月7日，奇安信全球鹰系统评估互联网上可被直接攻击的国内受影响RDP服务器还大量存在。由于漏洞利用无需用户交互的特性结合巨大的影响面，意味着该漏洞极有可能被蠕虫所利用，如果漏洞利用稳定有可能导致类似WannaCry蠕虫泛滥的情况发生。

目前已经确认利用此漏洞可以至少非常稳定地触发受影响系统蓝屏崩溃从而导致拒绝服务，到5月31日已有公开渠道发布可以导致系统蓝屏崩溃的PoC代码出现，有企图的攻击者可以利用此PoC工具对大量存在漏洞的系统执行远程拒绝服务攻击。至2019年9月7日，已有可导致远程代码执行的Metasploit模块的Pull request公开发布，随着工具的扩散，已经构成了蠕虫级的现实安全威胁。

本次公开的利用代码可用于攻击 Windows 7 SP1 x64 与 Windows 2008 R2 x64。目前该Exp 并未实现精准的全自动化的攻击过程，攻击参数需要手动进行配置。错误的参数配置有可能导致目标服务器蓝屏重启。并且，Windows2008 R2 x64 需要对注册表进行修改配置后才能够被该 Exp 攻击成功。

微软针对此漏洞已经发布了安全补丁（包括那些已经不再提供技术支持的老旧操作系统），强烈建议用户立即安装相应的补丁或其他缓解措施以避免受到相关的威胁。

此漏洞的相关事件时间线如下：

1. 2019年5月14日

微软发布远程桌面服务远程代码执行漏洞CVE-2019-0708的安全通告及相应补丁，并特别针对此漏洞发布了专门的说明，提示这是一个可能导致蠕虫泛滥的严重漏洞。

2. 2019年5月15日

奇安信威胁情报中心发布漏洞安全预警及处置方案，随后奇安信安全产品线发布漏洞检测修复工具。

3. 2019年5月22日

奇安信红雨滴团队发布非破坏性漏洞扫描工具并更新至奇安信漏洞检测修复工具中。

4. 2019年5月23日

互联网公开渠道出现具有非破坏性漏洞扫描功能的PoC程序。

5. 2019年5月25日

黑客开始大规模扫描存在漏洞的设备。

6. 2019年5月30日

微软再次发布对于CVE-2019-0708漏洞做修补的提醒，基于漏洞的严重性强烈建议用户尽快升级修复。

7. 2019年5月31日

互联网公开渠道出现能导致蓝屏的PoC代码，奇安信威胁情报中心红雨滴团队已经确认了PoC代码的可用性，漏洞相关的现实威胁进一步升级。

结合目前已经有黑客进行大规模扫描存在漏洞设备并进行收集的情况，很有可能导致现实中存在漏洞的主机被批量进行漏洞攻击而导致大规模拒绝服务，奇安信威胁情报中心提醒务必对资产进行检查，并修补设备的漏洞。

8. 2019年6月8日

Metasploit的商业版本开始提供能导致远程代码执行的漏洞利用模块，随之必然发生往公开渠道的扩散将形成蠕虫级的安全威胁。

9. 2019年7月31日

商业漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模块。

10. 2019年9月7日

已有公开渠道的MetasploitCVE-2019-0708漏洞利用模块发布，构成现实的蠕虫威胁。

风险等级

奇安信安全监测与响应中心风险评级为：高危

预警等级：蓝色预警（一般事件）

影响范围

• Windows 7 for 32-bit Systems Service Pack 1
• Windows 7 for x64-based Systems Service Pack1
• Windows Server 2008 for 32-bit SystemsService Pack 2
• Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
• Windows Server 2008 for Itanium-Based SystemsService Pack 2
• Windows Server 2008 for x64-based SystemsService Pack 2
• Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)
• Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1
• Windows Server 2008 R2 for x64-based SystemsService Pack 1
• Windows Server 2008 R2 for x64-based SystemsService Pack 1 (Server Core installation)
• Windows XP SP3 x86
• Windows XP Professional x64 Edition SP2
• Windows XP Embedded SP3 x86
• Windows Server 2003 SP2 x86
• Windows Server 2003 x64 Edition SP2

处置建议

官方补丁：

微软官方已经推出安全更新请参考以下官方安全通告下载并安装最新补丁：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

或根据以下表格查找对应的系统版本下载最新补丁：

Windows 7 x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

Windows 7 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Embedded Standard 7 for x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Embedded Standard 7 for x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

Windows Server 2008 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu

Windows Server 2008 Itanium

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu

Windows Server 2008 x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu

Windows Server 2008 R2 Itanium

http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu

Windows Server 2008 R2 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Server 2003 x86

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe

Windows Server 2003 x64

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe

Windows XP SP3

http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe

Windows XP SP2 for x64

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe

Windows XP SP3 for XPe

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe

WES09 and POSReady 2009

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe

缓解措施：

1. 如无法更新补丁，可以通过在系统上启动NLA（网络级别身份认证）暂时规避该漏洞风险。

2. 在企业边界防火墙阻断TCP协议inbound 3389的连接，或只允许可信IP进行连接。

3. 如无明确要求，可选择禁用3389（远程桌面服务）。

"