河南省教育信息安全监测中心RDP远程代码执行漏洞预警

信息来源：信息与网络管理中心发布时间：2019-05-20阅读：次

事件描述

2019年5月15日，河南省教育信息安全监测中心在针对教育行业的Web应用进行安全监测时，发现互联网存在Microsoft Windows Remote Desktop Services漏洞公告，该公告表示Microsoft Windows Remote Desktop Services存在远程代码执行漏洞，经检测，大量用户受到该类漏洞的影响。

自从2019年5月15号，被爆出高危漏洞，该漏洞影响范围较广，windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击，该服务器漏洞利用方式是通过远程桌面端口3389，RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞，跟之前的勒索，永恒之蓝病毒差不多。

远程桌面服务（以前称为终端服务）中存在远程代码执行漏洞，未经身份验证的攻击者可以使用RDP连接到目标系统并发送精心设计的请求。此漏洞是预身份验证，不需要用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。然后，攻击者可以安装程序；查看、更改或删除数据；或者创建具有完全用户权限的新帐户。

Remote Desktop Services远程桌面服务，是Windows操作系统自带的一项服务。2019年5月15日，研究人员发现Microsoft Windows从XP到2008 R2多个版本Remote Desktop Services远程代码执行漏洞，经河南省教育信息安全监测中心研判，该漏洞可能严重影响广大教育用户的信息业务系统。

目前国内使用windows服务器的公司，以及网站太多，尤其阿里云服务器，腾讯云的服务器，百度云服务器，西部数码服务器，都在第一时间短信通知用户。关于RDP远程桌面漏洞的详情，代码如下：

漏洞效果

处置建议

针对微软第一时间公布了CVE-2019-0708漏洞的修复补丁，我们对比补丁发现仅仅是对termdd.sys远程驱动做了修改，在驱动的strcmp里做了限制，我们跟踪上面的修改参数追踪到远程桌面的一个调用函数里，对该函数微软写死了，我们判断是这个函数可以插入恶意代码导致远程执行漏洞发生，具体怎么利用CVE-2019-0708漏洞，目前没有poc公布，估计很快会在github上出现。

CVE-2019-0708漏洞是通过检查用户的身份认证，导致可以绕过认证，不用任何的交互，直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用，会导致服务器入侵，中病毒，像WannaCry 永恒之蓝漏洞一样大规模的感染。

目前，微软官方已发布补丁修复此漏洞，河南省教育信息安全监测中心建议广大教育行业用户立即升级至最新版本：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

临时防护措施：

1、禁用远程桌面服务。

2、通过主机防火墙对远程桌面服务端口进行阻断（默认为TCP 3389）。

3、启用网络级认证（NLA），此方案适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。启用NLA后，攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证，然后才能利用此漏洞。

漏洞修复补丁以及安全建议

有些windows2008系统打不了补丁的一般是数据中心版本，可以设置一下服务器，计算机右键属性-远程设置-仅允许运行使用网络基本身份验证的远程桌面的计算机连接（更安全）（N），在这行点勾，然后确认即可，可以临时的防止漏洞的攻击。

如果对补丁不知道该如何修复的，可以启用阿里云的端口安全策略，禁止掉3389远程端口，只允许自己的IP通信即可。

1.Windows Server 2008 漏洞补丁系列下载地址

Windows Server 2008 32位系统:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu

Windows Server 2008 x64位系统:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu

Windows Server 2008 R2 Itanium系统:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu

Windows Server 2008 R2 x64系统:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Server 2008 Itanium:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu

2.Windows Server 2003 漏洞补丁系列下载地址

Windows Server 2003 32位系统:

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe

Windows Server 2003 64位系统:

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe

3. Windows XP 漏洞补丁系列下载地址

Windows XP SP3 32位系统:

http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe

Windows XP SP2 64位系统:

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe

Windows XP SP3 for XPe:

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe

原创声明，本文系腾讯云作者授权云+社区发表，未经许可，不得转载。

如有侵权，请联系xdjy.haue.edu.cn删除。

附：参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

附件【河南省教育信息安全监测中心.docx】