北京時間9月7日凌晨，有開發(fā)者在GitHub上發(fā)布了Windows RDP服務(wù)蠕蟲級漏洞 (CVE-2019-0708) 的Metasploit利用模塊，可導(dǎo)致舊版本W(wǎng)indows無交互遠程代碼執(zhí)行。
隨著工具的擴散，該漏洞有可能導(dǎo)致類似WannaCry泛濫的情況發(fā)生，已經(jīng)構(gòu)成了蠕蟲級的現(xiàn)實安全威脅。 以下轉(zhuǎn)載自奇安信威脅情報中心的預(yù)警： 2019年05月15日，微軟公布了5月的補丁更新列表，在其中存在一個被標記為嚴重的RDP（遠程桌面服務(wù)）遠程代碼執(zhí)行漏洞，攻擊者可以利用此漏洞遠程無需用戶驗證通過發(fā)送構(gòu)造特殊的惡意數(shù)據(jù)在目標系統(tǒng)上執(zhí)行惡意代碼，從而獲取機器的完全控制。此漏洞主要影響的設(shè)備為Windows 7、Window Server 2008以及微軟已不再支持的Windows 2003、Window XP操作系統(tǒng)，涉及系統(tǒng)在國內(nèi)依然有大量的使用，所以此漏洞的影響面巨大。


本次漏洞時間線
2019年5月14日
微軟發(fā)布遠程桌面服務(wù)遠程代碼執(zhí)行漏洞CVE-2019-0708的安全通告及相應(yīng)補丁，并特別針對此漏洞發(fā)布了專門的說明，提示這是一個可能導(dǎo)致蠕蟲泛濫的嚴重漏洞.

2019年5月15日
斗象智能安全平臺發(fā)布漏洞預(yù)警信息及處置方案，隨后斗象智能安全平臺ARS/PRS上線漏洞檢測工具.

2019年5月23日
互聯(lián)網(wǎng)公開渠道出現(xiàn)具有非破壞性漏洞掃描功能的PoC程序.

2019年5月25日
黑客開始大規(guī)模掃描存在漏洞的設(shè)備.

2019年5月30日
微軟再次發(fā)布對于CVE-2019-0708漏洞做修補的提醒，基于漏洞的嚴重性強烈建議用戶盡快升級修復(fù).

2019年5月31日
互聯(lián)網(wǎng)公開渠道出現(xiàn)能導(dǎo)致藍屏的PoC代碼，斗象安全應(yīng)急響應(yīng)團隊已經(jīng)確認了PoC代碼的可用性.

2019年6月8日
Metasploit的商業(yè)版本開始提供能導(dǎo)致遠程代碼執(zhí)行的漏洞利用模塊.

2019年7月31日
商業(yè)漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模塊.

2019年9月7日
已有公開渠道的Metasploit CVE-2019-0708漏洞利用模塊發(fā)布，構(gòu)成現(xiàn)實的蠕蟲威脅。


 漏洞危害
成功利用此漏洞的攻擊者可以在目標系統(tǒng)上執(zhí)行任意代碼。然后攻擊者可以安裝程序; 查看，更改或刪除數(shù)據(jù); 或創(chuàng)建具有完全用戶權(quán)限的新帳戶。


 影響范圍: Windows 操作系統(tǒng)
版本
Windows 7
Windows Server 2008 R2（即將停止維護）
Windows Server 2008（即將停止維護）
Windows Server 2003（已停止維護）
Windows XP（已停止維護）

組件: 遠程桌面服務(wù)


修復(fù)方案
1、官方補丁
     通過Windows 操作系統(tǒng)中的自動更新功能進行更新；
     針對系統(tǒng)版本參考文末列表下載補丁進行運行安裝。

2、臨時解決建議
    禁用遠程桌面服務(wù)；
    在防火墻中對遠程桌面服務(wù)端口(3389)進行阻斷；
    在Windows 7, Windows Server 2008, and Windows Server 2008 R2 上啟用網(wǎng)絡(luò)身份認證。