赛博星人在5月15日漏洞公布后第一时间已经发布漏洞预警及应急措施,并且一直密切关注该漏洞利用演变及情报进展,截至目前,网上已开始流传利用此漏洞导致主机蓝屏重启的利用脚本。故此,我们再次提醒各位企业及个人用户对该漏洞予以重视,及时更新补丁并做好漏洞防御措施。
最新情报:
图1 Windows远程高危漏洞发展时间线
据最新情报分析,5月31日网络上已经流出Windows远程桌面高危漏洞(CVE-2019-0708)的poc拒绝服务攻击脚本(poc全名为proof of concept,通常指一段对漏洞证明的代码),该漏洞利用脚本可直接对目标主机造成系统蓝屏重启,以下为赛博星人对windows 7(64位)系统复现该漏洞利用脚本的攻击效果。
受影响版本更新:
●Windows XP SP3 x86
●Windows XP Professional x64 Edition SP2
●Windows XP Embedded SP3 x86
●Windows 7 for 32-bit Systems ServicePack 1
●Windows 7 for x64-based Systems ServicePack1
●Windows Server 2008 for 32-bitSystemsService Pack 2
●Windows Server 2008 for 32-bitSystemsService Pack 2 (Server Core installation)
●Windows Server 2008 forItanium-BasedSystems Service Pack 2
●Windows Server 2008 for x64-basedSystemsService Pack 2
●Windows Server 2008 for x64-basedSystemsService Pack 2 (Server Core installation)
●Windows Server 2008 R2 forItanium-BasedSystems Service Pack 1
●Windows Server 2008 R2 for x64-basedSystemsService Pack 1
●Windows Server 2008 R2 for x64-basedSystemsService Pack 1 (Server Core installation)
●Windows Server 2003 SP2 x86
●Windows Server 2003 x64 Edition SP2
背景回顾:
2019年5月14日微软官方发布紧急安全补丁,修复了一个Windows远程桌面服务的远程代码执行漏洞(漏洞编号为CVE-2019-0708),攻击者可利用此漏洞无需用户交互直接获取Windows服务器权限。目前情报分析,未有针对该漏洞的大规划攻击,但仍存在高风险,如下是攻击流程:
利用过程描述:
1)远程桌面服务RDP(Remote Desktop Services)中存在远程执行代码漏洞。
2)外部黑客直接扫描该网络是否存在远程服务(端口3389)及操作系统;
3)通过发送特定构造的请求可以在目标系统上执行任意命令。此漏洞是预身份验证,无需用户交互,这就意味利用该漏洞任何恶意软件都可以从被感染的机器传播到其他易受攻击的计算机,类似于2017年爆发的WanaCry等恶意勒索病毒
漏洞评级:
严重
应对建议:
目前优先处理步骤如下:
1、补丁修复
https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708 (具体补丁安装方法请点击此链接“勒索病毒2.0”来袭预警!Windows远程桌面高危漏洞应急措施)
2、NGFW/WAF/IPS升级最新的攻击库,并开启该防御及监控3389远程端口流量。若远程桌面服务非必需,建议关闭即可。
3、杀毒软件升级及监控
4、提升用户信息安全意识度
本文始发于微信公众号(赛博星人):【再次紧急预警】Windows远程桌面高危漏洞利用在即
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论