背景:
2019年5月14日微软官方发布紧急安全补丁,修复了一个Windows远程桌面服务的远程代码执行漏洞(漏洞编号为CVE-2019-0708),攻击者可利用此漏洞无需用户交互直接获取Windows服务器权限。目前情报分析,未有针对该漏洞的大规划攻击,但仍存在高风险,如下是攻击流程:
利用过程描述:
1)远程桌面服务RDP(Remote Desktop Services)中存在远程执行代码漏洞。
2)外部黑客直接扫描该网络是否存在远程服务(端口3389)及操作系统;
3)通过发送特定构造的请求可以在目标系统上执行任意命令。此漏洞是预身份验证,无需用户交互,这就意味利用该漏洞任何恶意软件都可以从被感染的机器传播到其他易受攻击的计算机,类似于2017年爆发的WanaCry等恶意勒索病毒
漏洞评级:
严重
影响版本:
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows 2003
Windows XP
应对建议:
目前优先处理步骤如下:
1、补丁修复
2、NGFW/WAF/IPS升级最新的攻击库,并开启该防御及监控3389远程端口流量
3、杀毒软件升级及监控
4、提升用户信息安全意识度
1.补丁修复:
目前微软已发出补丁,下载地址如下:
https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708
具体操作指南:
修复方案:
-
及时安装官方安全补丁:
Windows 7及Windows Server 2008系统升级至最新版本,或手动安装如下链接补丁:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175
Windows XP及Windows 2003系统需手动下载安装如下补丁:
https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708
安装补丁教程如下:
(1) 找到对应版本,下载补丁
(2) 如Windows Server 2008版本,双击进行安装即可
Windows Server 2008如下
Windows 2008 R2如下
(3) 补丁验证
补丁安装完成后,命令行输入systeminfo进行补丁确认。
打开cmd.exe,并输入systeminfo
Windows 2003补丁确认如下
Windows 2008 R2补丁确认如下
Windows 2008 64位补丁确认如下
2. 如无需远程桌面服务,请关闭远程桌面服务端口3389。
可通过本地防火墙或本地的IPS自行关闭3389。
本文始发于微信公众号(赛博星人):“勒索病毒2.0”来袭预警!Windows远程桌面高危漏洞应急措施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论