Windows再现“永恒之蓝”级漏洞--CVE-2019-0708
Windows再现“永恒之蓝”级漏洞--CVE-2019-0708
5月15日,微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌面服务(RDP)远程代码执行漏洞,该漏洞在不需身份认证的情况下即可远程触发,危害与影响面极大。
全球鹰分析发现国内有超过150万台主机对外开放3389端口,可能受到漏洞影响。
漏洞描述
Windows 远程桌面服务(RDP)主要用于管理人员对 Windows 服务器进行远程管理,使用量极大。
近日,微软官方披露Windows中的远程桌面服务中存在远程代码执行漏洞,未经身份认证的攻击者可使用RDP协议连接到目标系统并发送精心构造的请求可触发该漏洞。
成功利用此漏洞的攻击者可在目标系统上执行任意代码,可安装应用程序,查看、更改或删除数据,创建完全访问权限的新账户等。
影响范围
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems Service Pack1
- Windows Server 2008 for 32-bit SystemsService Pack 2
- Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
- Windows Server 2008 for Itanium-Based SystemsService Pack 2
- Windows Server 2008 for x64-based SystemsService Pack 2
- Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)
- Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1
- Windows Server 2008 R2 for x64-based SystemsService Pack 1
- Windows Server 2008 R2 for x64-based SystemsService Pack 1 (Server Core installation)
- Windows XP SP3 x86
- Windows XP Professional x64 Edition SP2
- Windows XP Embedded SP3 x86
- Windows Server 2003 SP2 x86
- Windows Server 2003 x64 Edition SP2
处置建议
官方补丁
微软官方已经推出安全更新请参考以下官方安全通告下载并安装最新补丁:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
或根据以下表格查找对应的系统版本下载最新补丁:
操作系统版本 | 补丁下载链接 |
|---|
Windows 7 x86 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu |
|---|
Windows 7 x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu |
|---|
Windows Embedded Standard 7 for x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu |
|---|
Windows Embedded Standard 7 for x86 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu |
|---|
Windows Server 2008 x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu |
|---|
Windows Server 2008 Itanium | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu |
|---|
Windows Server 2008 x86 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu |
|---|
Windows Server 2008 R2 Itanium | http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu |
|---|
Windows Server 2008 R2 x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu |
|---|
Windows Server 2003 x86 | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe |
|---|
Windows Server 2003 x64 | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe |
|---|
Windows XP SP3 | http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe |
|---|
Windows XP SP2 for x64 | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe |
|---|
Windows XP SP3 for XPe | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe |
|---|
缓解方法
1. 在企业边界防火墙处阻止 TCP 端口 3389
2. 使用策略禁止远程桌面到终端。
3. 启用“桌面加固”,将“计算机远程桌面到本机 ”设置为“禁用”。
修复方法
奇安信出品“CVE-2019-0708”漏洞检测修复工具
https://www.qianxin.com/other/CVE-2019-0708
注意事项:内含补丁包,文件较大:288M,建议找网络较好的环境下载。
关于POC的问题,各大P图高手和搞怪小能手纷纷现身
运行后的真实情况是
caixukun,哈哈哈
还有其他的搞怪小能手
P图小能手
真实的POC大家还是静坐几天吧
这几天好好打补丁才是正事
友情提示:
既然大家都喜欢CVE-2019-0708,如果怀揣恶意的人弄一个假的Poc放在Github或者论坛以及社区来引流,最上面丢一段特别长但是不执行的不知道是什么的Exp代码,最下面加个木马的Python代码供给大家下载。相信又有一堆肉鸡主机上线了,所以近期的POC大家还是放在虚拟机里先测试下,避免被爆菊了
推荐阅读
CVE-2019-0708 微软远程桌面服务远程代码执行漏洞分析之补丁分析
https://www.giantbranch.cn/2019/05/15/CVE-2019-0708%20%E5%BE%AE%E8%BD%AF%E8%BF%9C%E7%A8%8B%E6%A1%8C%E9%9D%A2%E6%9C%8D%E5%8A%A1%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B9%8B%E8%A1%A5%E4%B8%81%E5%88%86%E6%9E%90/
文章参考来源:奇安信集团
以及互联网公开信息
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
腾讯云开发者
