首页 资讯 版块

[安全热点信息]影响Win7远程桌面服务安全性的漏洞CVE20190708

许宝宝
2020-01-10 16:33:49

此漏洞主要影响的设备为Windows 7、Window Server 2008以及微软已不再支持的Windows 2003、Window XP操作系统,涉及系统在国内依然有大量的使用,所以此漏洞的影响面巨大,到2019年9月7日,奇安信全球鹰系统评估互联网上可被直接攻击的国内受影响RDP服务器还大量存在。由于漏洞利用无需用户交互的特性结合巨大的影响面,意味着该漏洞极有可能被蠕虫所利用,如果漏洞利用稳定有可能导致类似WannaCry蠕虫泛滥的情况发生。 


奇安信息威胁情报中心红雨滴团队第一时间跟进该漏洞并保持关注,目前已经确认利用此漏洞可以至少非常稳定地触发受影响系统蓝屏崩溃从而导致拒绝服务,到5月31日已有公开渠道发布可以导致系统蓝屏崩溃的POC代码出现,有企图的攻击者可以利用此POC工具对大量存在漏洞的系统执行远程拒绝服务攻击。至2019年9月7日,已有可导致远程代码执行的Metasploit模块公开发布,随着工具的扩散,已经构成了蠕虫级的现实安全威胁。

 

相关厂商微软针对此漏洞已经发布了安全补丁(包括那些已经不再提供技术支持的老旧操作系统),强烈建议用户立即安装相应的补丁或其他缓解措施以避免受到相关的威胁。


漏洞描述

漏洞存在Windows的Remote Desktop Services(远程桌面服务)中,技术细节已知但在此不再详述,对于漏洞的利用无需用户验证,通过构造恶意请求即可触发导致任意指令执行,系统受到非授权控制。


影响面评估

此漏洞影响Windows 7、Window Server 2008以及微软已不再支持的Windows 2003、Window XP操作系统,目前通过技术评估,还存在大量未安装补丁的RDP服务在线,影响面巨大。而且,已有公开渠道发布可导致远程命令执行的漏洞利用Exploit发布,形成非常明确急迫的蠕虫级现实威胁,需要引起高度重视。

 

根据奇安信全球鹰系统的监测,随着漏洞被逐步地修补,国内存在漏洞并通过互联网可被远程攻击的IP还有大量存在,漏洞的修复状况不容乐观。


修复方法
1. 目前软件厂商微软已经发布了漏洞相应的补丁,奇安信威胁情报中心建议进行相关升级
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC
Windows XP 及Windows 2003可以在以下链接下载补丁:
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
2. 奇安信公司推出了针对性的“CVE-2019-0708”漏洞检测修复工具1.0.0.1004版:
https://www.qianxin.com/other/CVE-2019-0708
奇安信公司的其他安全产品:天堤防火墙、天眼高级威胁检测系统、SOC及态势感知系统都已经支持对于此漏洞利用的检测和防护。

临时解决方案
1. 如暂时无法更新补丁,可以通过在系统上启用网络及身份认证(NLA)以暂时规避该漏洞影响。
2. 在企业外围防火墙阻断TCP端口3389的连接,或对相关服务器做访问来源过滤,只允许可信IP连接。
3. 如无明确的需求,可禁用远程桌面服务。


快速扫描检测工具
“快速扫描检测工具”具备单IP扫描检测“CVE-2019-0708”漏洞功能。适合对单个终端设备进行快速扫描检测。下载页面:
https://www.qianxin.com/other/CVE-2019-0708


使用说明:
1. 下载文件进行解压。
2. 使用win+R快捷键或开始菜单选择“运行”,输入cmd。调起命令行工具。
3. 在命令行工具,输入:快速扫描检测工具的完整路径+IP+端口。回车后可以得到结果。详见如下示例:

C:usersqdy>d:Downloadscve-2019-0708-sacn.exe 192.168.0.1003389
*****************************************************
* 奇安信CVE-2019-0708漏洞快速扫描检测工具 *
* by 奇安信红雨滴(@RedDrip7)团队 *
*****************************************************
[+] 连接 192.168.0.100:3389成功...
[+] 警告: SERVER 192.168.0.100 存在漏洞,系统架构为 x64

以上结果表示192.168.0.100终端设备系统存在“CVE-2019-0708”漏洞,建议立即修复。

C:usersqdy>d:Downloadscve-2019-0708-sacn.exe 192.168.0.1013389
*****************************************************
* 奇安信CVE-2019-0708漏洞快速扫描检测工具 *
* by 奇安信红雨滴(@RedDrip7)团队 *
*****************************************************
[+] 连接 192.168.0.101:3389成功...
[*] 恭喜:Server 192.168.0.101不存在漏洞

以上结果表示192.168.0.101终端设备系统不存在“CVE-2019-0708”漏洞。

C:usersqdy>d:Downloadscve-2019-0708-sacn.exe 192.168.0.1023389
*****************************************************
* 奇安信CVE-2019-0708漏洞快速扫描检测工具 *
* by 奇安信红雨滴(@RedDrip7)团队 *
*****************************************************
[+] 连接 192.168.0.102:3389成功...
[-] 错误: 192.168.0.102RDP服务连接失败

以上错误表示192.168.0.102终端设备RDP服务需要身份验证。

C:usersqdy>d:Downloadscve-2019-0708-sacn.exe 192.168.0.1033389
*****************************************************
* 奇安信CVE-2019-0708漏洞快速扫描检测工具 *
* by 奇安信红雨滴(@RedDrip7)团队 *
*****************************************************
[-] 连接错误...

以上错误表示192.168.0.103终端设备无法连接,建议检查网络是否畅通。

批量快速扫描检测工具
支持IP段批量扫描检测“CVE-2019-0708”漏洞功能。适合对局域网全网段扫描,以快速找到局域网内存在该漏洞的全部终端设备。
获取方式:
通过邮箱发送邮件联系:kefu@qianxin.com索取。
使用说明:
1. 下载文件进行解压。
2. 使用win+R快捷键或开始菜单选择“运行”,输入cmd。调起命令行工具。
3. 在命令行工具,输入:快速扫描检测工具的完整路径+IP1-IP2+端口。回车后可以得到结果,详见如下示例:

C:usersqdy>d:Downloadscve-2019-0708-sacn.exe 192.168.0.100-192.168.0.1033389
*****************************************************
* 奇安信CVE-2019-0708漏洞快速扫描检测工具 *
* by 奇安信红雨滴(@RedDrip7)团队 *
*****************************************************
[+] 连接 192.168.0.100:3389成功...
[+] 警告: SERVER 192.168.0.100 存在漏洞,系统架构为 x64
[+] 连接 192.168.0.101:3389成功...
[*] 恭喜:Server 192.168.0.101不存在漏洞
[+] 连接 192.168.0.102:3389成功...
[-] 错误: 192.168.0.102RDP服务连接失败
[-] 连接错误...

以上结果表示192.168.0.100终端设备系统存在“CVE-2019-0708”漏洞,建议立即修复。
192.168.0.101终端设备系统不存在“CVE-2019-0708”漏洞。
192.168.0.102终端设备RDP服务需要身份验证。
192.168.0.103终端设备无法连接,建议检查网络是否畅通。


参考资料
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
https://www.qianxin.com/other/CVE-2019-0708
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC
https://github.com/busterb/metasploit-framework/blob/bluekeep/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb



用户评论