CVE-2019-0708 | Windows远程桌面服务远程执行代码漏洞预警

2019-5-14日微软官方发布了对远程桌面服务（Remote Desktop Services）的关键远程代码执行漏洞CVE-2019-0708的安全补丁。

远程桌面服务（以前称为终端服务）中存在远程执行代码漏洞，当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时。此漏洞是预身份验证，无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。然后攻击者可以安装程序;查看，更改或删除数据;或创建具有完全用户权限的新帐户。

要利用此漏洞，攻击者需要通过RDP向目标系统远程桌面服务发送特制请求。

此更新通过更正远程桌面服务处理连接请求的方式来解决漏洞。

受影响范围

• Windows XP SP3 x86
• Windows XP 专业 x64 版 SP2
• Windows XP Embedded SP3 x86
• Windows 7 for 32-bit Systems Service Pack 1
• Windows 7 for x64-based Systems Service Pack 1
• Windows Server 2003 SP2 x86
• Windows Server 2003 x64 版本 SP2
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for Itanium-Based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Embedded POSReady 2009
• Windows Embedded Standard 2009

修复及缓解建议

1. 尽快安装此漏洞的补丁（即使已经禁用远程桌面服务）[1]。
2. 如果不需要使用远程桌面服务，建议禁用该服务。
3. 在受影响版本的系统上启用网络级身份验证（NLA）；启用NLA后，攻击者需要使用目标系统上的有效账户对远程桌面服务进行身份验证，才能成功利用该漏洞。
4. 在企业外围或边界防火墙上部署安全策略，阻止TCP端口3389。

参考资料

• https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
• https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708