近日,针对Windows RDP远程代码执行漏洞(CVE-2019-0708),微软发布了相关修复程序。据悉,该漏洞可影响到XP至2008 R2多个版本的Windows系统,通过利用此漏洞,可能造成与 2017年WannaCry恶意软件全球泛滥类似的大范围传播。该漏洞一经曝光,便在短时间内引起业界的普遍关注。
Remote Desktop Services远程桌面服务,是Windows操作系统自带的一项服务。近期,研究人员发现Microsoft Windows 从XP到2008 R2多个版本存在Remote Desktop Services远程代码执行漏洞,未经身份验证的攻击者可以使用RDP连接到目标系统并发送精心设计的请求。此漏洞是预身份验证,不需要用户交互,便可利用此漏洞在目标系统上执行任意代码。攻击者可以安装程序;查看、更改或删除数据;甚至创建具有完全用户权限的新帐户。目前,此漏洞暂无POC对外发布。
RDP分布态势
根据盛邦安全网络空间探测平台(RaySpace)最新监测数据,全球共有2,827,892个开发的RDP服务,具体分布情况见下图(颜色的深浅代表数量的多少,颜色越深代表数量越多)。
盛邦安全网络空间资产探测平台RaySpace数据监测结果
在全球开放的RDP服务中,美国最多,其次是中国、德国、荷兰和英国。
在中国境内,共有533,430个开放的RDP服务,具体分布情况分布见下图(圆点的大小代表数量的多少,圆点越大代表数量越多)。
在中国境内开放的RDP服务中,广东最多,有131,569个服务。其次是北京,有69,028个开放的RDP服务,四川排第三,有64,616个开放的RDP服务。香港有48,451个开放的RDP服务,上海有46,922个开放的RDP服务,台湾有33,900个开放的RDP服务,天津有29,482个开放的RDP服务。
修复建议
步骤一:确定版本及系统
如果当前Windows系统是微软不支持的版本或系统(Windows 2003和Windows XP),解决此漏洞的较好方法是升级到最新版本的Windows系统。
补丁更新地址:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708。
步骤二:关闭远程桌面
以windows2008 R2为例:
1、右击计算机--属性--远程设置--不允许连接到这台计算机
由于CVE2019-0708漏洞非常危险,利用此漏洞的攻击者可以在目标系统上执行任意代码,即使选择了仅允许使用网络级别身份验证的远程桌面的计算机连接(更安全),也要更改为“不允许连接到这台计算机”。
2. win+R -- services.msc
3.禁用Remote Access Connection Manager服务
步骤三:封禁RDP服务端口
在完成上一步的修复后,建议在互联网端防火墙封禁RDP服务端口,同时在交换机封禁RDP服务端口,以防止存在未修复的设备。
小结
从盛邦安全网络空间探测平台RaySpace监测结果来看,现阶段2,827,892台Windows机器存在RDP远程连接,抛除最新版本的windows系统,此漏洞可以直接控制全球百万台Windows设备,如果成功利用该漏洞,对全球造成的影响和危害程度可堪比WannaCry,需要引起大家的高度警觉并尽快采取有效的防范措施。
盛邦安全服务热线:4006-911-199