目前,由于EXP(漏洞利用)的公開(kāi)發(fā)布,惡意攻擊者還很有可能利用該漏洞編寫(xiě)定制的惡意軟件,官方描述此漏洞相關(guān)危害可參考2017年WannaCry事件,深信服在此建議用戶及時(shí)安裝補(bǔ)丁以避免受到損失。
什么是CVE-2019-0708?
CVE-2019-0708,屬于遠(yuǎn)程代碼執(zhí)行漏洞,當(dāng)未經(jīng)身份驗(yàn)證的攻擊者使用RDP連接到目標(biāo)系統(tǒng)并發(fā)送特制請(qǐng)求時(shí),即可以觸發(fā)該漏洞���。此漏洞屬于預(yù)身份驗(yàn)證,無(wú)需用戶交互,成功利用此漏洞的攻擊者可以安裝應(yīng)用程序,查看�、更改或刪除數(shù)據(jù)或創(chuàng)建具有完全用戶權(quán)限的新賬戶。
該漏洞的影響范圍如何?
目前該漏洞主要影響使用Windows XP����、Windows 7 、Windows Server 2003以及Windows Server 2008的相關(guān)用戶��。
截止目前,深信服追蹤到在全球范圍內(nèi)對(duì)互聯(lián)網(wǎng)開(kāi)放RDP的資產(chǎn)數(shù)量已經(jīng)多達(dá)1250萬(wàn),其中美國(guó)地區(qū)對(duì)外開(kāi)放的RDP數(shù)量排名第一,為341萬(wàn)臺(tái)����。排名第二與第三的分別是中國(guó)和德國(guó),其中中國(guó)數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)德國(guó)的數(shù)量。
▲RDP全球范圍內(nèi)情況分布
(統(tǒng)計(jì)數(shù)據(jù)僅為對(duì)互聯(lián)網(wǎng)開(kāi)放的資產(chǎn))
由以上數(shù)據(jù)統(tǒng)計(jì)看來(lái),國(guó)內(nèi)RDP的使用基數(shù)很高,用戶相當(dāng)廣泛�����。其中RDP使用量最高的三個(gè)省市是北京,浙江以及廣東�����。北京的使用量最高,數(shù)量達(dá)864982臺(tái),浙江省的使用量也達(dá)57萬(wàn)以上,廣東省的使用量達(dá)27萬(wàn)��。因此,針對(duì)此次RDP的漏洞防范尤為重要�。
▲RDP國(guó)內(nèi)使用情況分布
(統(tǒng)計(jì)數(shù)據(jù)僅為對(duì)互聯(lián)網(wǎng)開(kāi)放的資產(chǎn))
如何防范利用該漏洞的攻擊?
修復(fù)建議:
1. 及時(shí)安裝微軟發(fā)布的安全更新補(bǔ)丁:
Microsoft官方已經(jīng)在 2019年5月14日修復(fù)了該漏洞,用戶可以通過(guò)安裝微軟的安全更新來(lái)給系統(tǒng)打上安全補(bǔ)丁,下載地址為:
以及為已不受微軟更新支持的系統(tǒng)Windows Server 2003和Windows XP提供的安全更新,下載地址:
2. 緩解措施(在無(wú)法及時(shí)安裝微軟安全更新的情況下作為臨時(shí)性解決方案):
若用戶不需要用到遠(yuǎn)程桌面服務(wù),建議禁用該服務(wù)。
開(kāi)啟網(wǎng)絡(luò)級(jí)別身份驗(yàn)證(NLA),此方案適用于Windows 7, Windows Server 2008, Windows Server 2008 R2�。
以上緩解措施只能暫時(shí)性針對(duì)該漏洞對(duì)系統(tǒng)進(jìn)行部分緩解,強(qiáng)烈建議在條件允許的情況下及時(shí)安裝微軟安全更新。
漏洞攻擊防御:
深信服云眼在漏洞爆發(fā)之初,已完成檢測(cè)更新,對(duì)所有用戶網(wǎng)站探測(cè),保障用戶安全��。不清楚自身業(yè)務(wù)是否存在漏洞的用戶,可注冊(cè)信服云眼賬號(hào),獲取30天免費(fèi)安全體驗(yàn)。注冊(cè)地址為:http://saas.sangfor.com.cn
深信服云鏡在漏洞爆發(fā)的第一時(shí)間就完成從云端下發(fā)本地檢測(cè)更新,部署云鏡的用戶只需選擇緊急漏洞檢測(cè),即可輕松��、快速檢測(cè)此高危風(fēng)險(xiǎn)��。
EDR漏洞規(guī)則庫(kù)緊急更新,支持Remote Desktop Protocol任意代碼執(zhí)行漏洞(CVE-2019-0708)的檢測(cè)和補(bǔ)丁分發(fā),漏洞規(guī)則庫(kù)版本:20190515185804����。聯(lián)網(wǎng)用戶可直接在線更新。 離線規(guī)則庫(kù)已在5月16日上傳至深信服社區(qū),有需要的用戶請(qǐng)到深信服社區(qū)下載����。
關(guān)于深信服智安全
深信服智安全秉持面向未來(lái)、有效保護(hù)的安全理念,提供實(shí)用的安全產(chǎn)品���、敏捷的安全服務(wù)和面向未來(lái)的安全解決方案。賦予用戶持續(xù)進(jìn)化的智能����、防御、檢測(cè)���、響應(yīng)與運(yùn)營(yíng)能力,為IT和業(yè)務(wù)提供持續(xù)保護(hù),讓安全建設(shè)更有效��、更簡(jiǎn)單����。
