目前,由于EXP(漏洞利用)的公開發(fā)布,惡意攻擊者還很有可能利用該漏洞編寫定制的惡意軟件,官方描述此漏洞相關(guān)危害可參考2017年WannaCry事件,深信服在此建議用戶及時安裝補丁以避免受到損失�����。
什么是CVE-2019-0708?
CVE-2019-0708,屬于遠程代碼執(zhí)行漏洞,當未經(jīng)身份驗證的攻擊者使用RDP連接到目標系統(tǒng)并發(fā)送特制請求時,即可以觸發(fā)該漏洞����。此漏洞屬于預(yù)身份驗證,無需用戶交互,成功利用此漏洞的攻擊者可以安裝應(yīng)用程序,查看、更改或刪除數(shù)據(jù)或創(chuàng)建具有完全用戶權(quán)限的新賬戶��。
該漏洞的影響范圍如何?
目前該漏洞主要影響使用Windows XP�、Windows 7 、Windows Server 2003以及Windows Server 2008的相關(guān)用戶�。
截止目前,深信服追蹤到在全球范圍內(nèi)對互聯(lián)網(wǎng)開放RDP的資產(chǎn)數(shù)量已經(jīng)多達1250萬,其中美國地區(qū)對外開放的RDP數(shù)量排名第一,為341萬臺。排名第二與第三的分別是中國和德國,其中中國數(shù)量遠遠超過德國的數(shù)量��。
▲RDP全球范圍內(nèi)情況分布
(統(tǒng)計數(shù)據(jù)僅為對互聯(lián)網(wǎng)開放的資產(chǎn))
由以上數(shù)據(jù)統(tǒng)計看來,國內(nèi)RDP的使用基數(shù)很高,用戶相當廣泛��。其中RDP使用量最高的三個省市是北京,浙江以及廣東���。北京的使用量最高,數(shù)量達864982臺,浙江省的使用量也達57萬以上,廣東省的使用量達27萬��。因此,針對此次RDP的漏洞防范尤為重要�。
▲RDP國內(nèi)使用情況分布
(統(tǒng)計數(shù)據(jù)僅為對互聯(lián)網(wǎng)開放的資產(chǎn))
如何防范利用該漏洞的攻擊?
修復(fù)建議:
1. 及時安裝微軟發(fā)布的安全更新補丁:
Microsoft官方已經(jīng)在 2019年5月14日修復(fù)了該漏洞,用戶可以通過安裝微軟的安全更新來給系統(tǒng)打上安全補丁,下載地址為:
以及為已不受微軟更新支持的系統(tǒng)Windows Server 2003和Windows XP提供的安全更新,下載地址:
2. 緩解措施(在無法及時安裝微軟安全更新的情況下作為臨時性解決方案):
若用戶不需要用到遠程桌面服務(wù),建議禁用該服務(wù)�。
開啟網(wǎng)絡(luò)級別身份驗證(NLA),此方案適用于Windows 7, Windows Server 2008, Windows Server 2008 R2。
以上緩解措施只能暫時性針對該漏洞對系統(tǒng)進行部分緩解,強烈建議在條件允許的情況下及時安裝微軟安全更新����。
漏洞攻擊防御:
深信服云眼在漏洞爆發(fā)之初,已完成檢測更新,對所有用戶網(wǎng)站探測,保障用戶安全。不清楚自身業(yè)務(wù)是否存在漏洞的用戶,可注冊信服云眼賬號,獲取30天免費安全體驗����。注冊地址為:http://saas.sangfor.com.cn
深信服云鏡在漏洞爆發(fā)的第一時間就完成從云端下發(fā)本地檢測更新,部署云鏡的用戶只需選擇緊急漏洞檢測,即可輕松、快速檢測此高危風險����。
EDR漏洞規(guī)則庫緊急更新,支持Remote Desktop Protocol任意代碼執(zhí)行漏洞(CVE-2019-0708)的檢測和補丁分發(fā),漏洞規(guī)則庫版本:20190515185804。聯(lián)網(wǎng)用戶可直接在線更新��。 離線規(guī)則庫已在5月16日上傳至深信服社區(qū),有需要的用戶請到深信服社區(qū)下載���。
關(guān)于深信服智安全
深信服智安全秉持面向未來��、有效保護的安全理念,提供實用的安全產(chǎn)品�、敏捷的安全服務(wù)和面向未來的安全解決方案��。賦予用戶持續(xù)進化的智能����、防御、檢測���、響應(yīng)與運營能力,為IT和業(yè)務(wù)提供持續(xù)保護,讓安全建設(shè)更有效�����、更簡單�����。
