紧急预警 | Windows 新“蠕虫级”远程桌面服务漏洞风险预警（CVE-2019-1181/1182）

近日，腾讯云安全中心监测到微软于周二补丁日发布了新的“蠕虫级”远程桌面服务高危漏洞预警及8月安全补丁更新公告，一共披露了97 个漏洞，攻击者可利用漏洞进行本地权限提升、远程代码执行等攻击。

为避免您的业务受影响，云鼎实验室建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。同时建议云上租户免费开通「安全运营中心」-安全情报，及时获取最新漏洞情报、修复方案及数据泄露情况，感知云上资产风险态势。

【风险等级】

高风险

【漏洞影响】

本地权限提升、远程代码执行等

【漏洞详情】

经分析，此次更新影响企业服务器操作系统的严重漏洞主要集中在远程桌面服务RDS组件及DHCP上，其中重点漏洞列表如下：

• CVE-2019-0736 | Windows DHCP 客户端远程代码执行漏
• CVE-2019-1181 | Windows 远程桌面代码执行漏洞（CVSS评分：9.8）
• CVE-2019-1182 | Windows 远程桌面代码执行漏洞（CVSS评分：9.8）

服务器操作系统漏洞影响情况如下：

• Windows Server 2008 R2: 共39个漏洞: 11 个严重漏洞， 28 个重要漏洞
• Windows Server 2012 R2: 共40个漏洞: 11 个严重漏洞， 29 个重要漏洞
• Windows Server 2016: 共50个漏洞: 11 个严重漏洞， 39 个重要漏洞
• Windows Server 2019: 共65个漏洞: 14 个严重漏洞， 51 个重要漏洞

在此次更新中，微软还修复了Google Project Zero 团队披露的一个Windows本地提权漏洞：CVE-2019-1162 - Windows ALPC 权限提升漏洞（影响Windows XP之后的所有操作系统）

【影响版本】

此次安全“蠕虫级”安全漏洞的影响的企业级操作系统如下：

• Windows Server 2008 R2
• Windows Server 2012 
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019

【修复补丁】

➣Windows Server 2008 R2: 

安全补丁下载地址：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4512486

➣Windows Server 2012 : 

安全补丁下载地址：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4512482

➣Windows Server 2012 R2: 

安全补丁下载地址：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4512489

➣Windows Server 2016: 

安全补丁下载地址：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4512517

➣Windows Server 2019: 

安全补丁下载地址：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4511553

【修复建议】

微软官方均已发布漏洞修复更新，腾讯云安全团队建议您：

1）开展补丁更新：确保服务器打上了所需的补丁，打开 Windows Update 更新功能，点击“检查更新”，根据业务情况开展评估，下载并安装相应的安全补丁，更新后重启系统生效，并观察系统及业务运行状态；

2）开启网络级别身份验证（NLA）：打开Windows的“控制面板”菜单，找到“统和安全 - 系统 - 远程设置”选项，找到“远程”选项卡，选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接（更安全）”选项，即可开启；

3）不要打开来历不明的文件或者链接：避免被攻击者利用在机器上执行恶意代码；

4）配置安全组：禁止外部到内部关键机器的网络访问；

5）最小化权限运行：以软件功能所需的最小化权限来运行相关应用程序；

【备注】：补丁安装后需重启服务器生效，建议您在安装补丁前做好数据备份工作，避免出现意外

【漏洞参考】

1）官方更新通告：

https://portal.msrc.microsoft.com/en-us/security-guidance

2）微软官方预警：

https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/?from=timeline&isappinstalled=0

3）外部媒体预警：

https://www.zdnet.com/article/microsoft-warns-of-two-new-wormable-flaws-in-windows-remote-desktop-services/

关于云鼎实验室

腾讯安全云鼎实验室一直专注于云领域前沿安全技术研究与创新，以及云标准化与合规体系建设等工作。通过机器学习与大数据技术实时监测并分析各类风险信息，同时，云鼎实验室帮助客户抵御高级可持续攻击，并联合腾讯安全其他实验室进行安全漏洞的研究，确保云计算平台整体的安全性，且相关能力通过腾讯云开放出来。云鼎实验室在云安全领域的研究与实战积累，使得腾讯云能够为企业和创业者提供集云计算、云数据、云运营于一体的云端服务体验，同时也是最可信的安全防护平台之一。