Windows RDP服務蠕蟲級漏洞CVE-2019-0708攻擊方法已放出，該漏洞可能導致類似WannaCry的蠕蟲病毒爆發，攻擊者亦可利用漏洞入侵后釋放勒索病毒，漏洞威力不遜于永恒之藍。

速打補丁!!!

速打補丁!!!

轉發起來!!!

報告編號：B6-2019-090702

更新日期：2019-09-07

0x00 漏洞背景

2019年5月14日微軟官方發布安全補丁，修復了Windows遠程桌面服務的遠程代碼執行漏洞，該漏洞影響了某些舊版本的Windows系統。

此漏洞是預身份驗證且無需用戶交互，這就意味著這個漏洞可以通過網絡蠕蟲的方式被利用。利用此漏洞的任何惡意軟件都可能從被感染的計算機傳播到其他易受攻擊的計算機，其方式與2017年WannaCry惡意軟件的傳播方式類似。成功利用此漏洞的攻擊者可以在目標系統完成安裝應用程序，查看、更改或刪除數據，創建完全訪問權限的新賬戶等操作。

此漏洞的相關事件時間線如下：

• 2019年05月14日：微軟官方發布遠程桌面服務遠程代碼執行漏洞(CVE-2019-0708)的安全通告及相應補丁。

• 2019年05月30日：微軟再次發布公告強烈建議受到CVE-2019-0708漏洞影響的用戶盡快升級修復。

• 2019年05月31日：互聯網流傳出可以導致系統藍屏崩潰的PoC代碼，有企圖的攻擊者可以利用此PoC工具對大量存在漏洞的系統執行遠程拒絕服務攻擊。

• 2019年06月08日：Metasploit的商業版本開始提供能導致遠程代碼執行的漏洞利用模塊。

• 2019年07月31日：商業漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模塊。

• 2019年09月07日：@rapid7 在其metasploit-framework倉庫公開發布了CVE-2019-0708的利用模塊，漏洞利用工具已經開始擴散，已經構成了蠕蟲級的攻擊威脅。

已公開的漏洞利用工具可以極易的被普通攻擊者使用，腳本化/批量化/自動化攻擊將接踵而至。

經研判，紅數位確認漏洞等級嚴重，影響面廣，建議相關單位、企業內部立即進行安全排查，給在漏洞影響范圍內的服務器、主機及時更新安全補丁。

0x01 影響范圍

• Windows 7 for 32-bit Systems Service Pack 1

• Windows 7 for x64-based Systems Service Pack 1

• Windows Server 2008 for 32-bit Systems Service Pack 2

• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

• Windows Server 2008 for Itanium-Based Systems Service Pack 2

• Windows Server 2008 for x64-based Systems Service Pack 2

• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

• Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

• Windows Server 2008 R2 for x64-based Systems Service Pack 1

• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

• Windows XP SP3 x86

• Windows XP Professional x64 Edition SP2

• Windows XP Embedded SP3 x86

• Windows Server 2003 SP2 x86

• Windows Server 2003 x64 Edition SP2

• Windows 8和Windows 10及之后版本的用戶不受此漏洞影響。

0x02 檢測及修復建議

安裝官方補丁

微軟官方已經發布更新補丁(包括Windows XP等停止維護的版本)，請用戶及時 進行補丁更新，獲得并安裝補丁的方式有2種：

離線安裝補丁的詳細步驟：

在“官方補丁下載鏈接中”找到當前受漏洞影響版本的補丁，下載該補丁。

雙擊下載的補丁并安裝：

輸入下方的命令檢測補丁是否安裝成功：

wmic qfe list|findstr "4499164 4499175 4499149 4499180 4500705"

如果補丁安裝成功將返回安裝補丁的信息：

重啟計算機完成安全更新。

臨時解決方案

• 若用戶不需要用到遠程桌面服務，建議禁用該服務：

• 開啟系統防火墻或IP安全策略限制來源IP，即只允許指定IP訪問。

• 啟用網絡級認證(NLA)，此方案僅適用于Windows 7, Windows Server 2008, and Windows Server 2008 R2：

0x03 官方補丁下載鏈接

操作系統版本補丁下載鏈接

Windows 7 x86	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows 7 x64	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x64	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x86	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows Server 2008 x64	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu
Windows Server 2008 Itanium	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu
Windows Server 2008 x86	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu
Windows Server 2008 R2 Itanium	http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu
Windows Server 2008 R2 x64	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Server 2003 x86	http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe
Windows Server 2003 x64	http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe
Windows XP SP3	http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe
Windows XP SP2 for x64	http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
Windows XP SP3 for XPe	http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe
WES09 and POSReady 2009	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe

如果從官方源下載補丁較慢的話，也可以從此鏈接下載補丁：https://yunpan.360.cn/surl_yLFKiSgzK2D (提取碼：68c8)

0x04 時間線

2019-05-14?微軟官方發布0708安全公告

2019-09-07?metasploit-framework攻擊框架公布漏洞利用代碼，漏洞利用工具已經擴散，已經可以造成蠕蟲級的安全威脅

2019-09-07?紅數位更新預警

0x05 參考鏈接

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://github.com/rapid7/metasploit-framework/pull/12283/files

@rapid7 Add initial exploit for CVE-2019-0708, BlueKeep #12283

總結

以上是生活随笔為你收集整理的远程桌面漏洞poc_十万火急，速打补丁!Windows RDP服务蠕虫级漏洞攻击被公开的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。