俩男人插下面的视频-亚洲一区二区熟女av-无码AV丝袜在线看-中文字幕免费不卡一区二区

 
客服熱線:4006-283-286

—— 股票代碼:300738

【預(yù)警通告】微軟遠程桌面服務(wù)遠程代碼執(zhí)行漏洞(CVE-2019-0708)
Source:廣東省網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心 | Author:Aofei | Published time: 2019-09-09 | 12846 Views | Share:
2019年05月15日,微軟公布了5月的補丁更新列表,在其中存在一個被標記為嚴重的RDP(遠程桌面服務(wù))遠程代碼執(zhí)行漏洞,攻擊者可以利用此漏洞遠程無需用戶驗證通過發(fā)送構(gòu)造特殊的惡意數(shù)據(jù)在目標系統(tǒng)上執(zhí)行惡意代碼,從而獲取機器的完全控制。

通告概述


2019年05月15日,微軟公布了5月的補丁更新列表,在其中存在一個被標記為嚴重的RDP(遠程桌面服務(wù))遠程代碼執(zhí)行漏洞,攻擊者可以利用此漏洞遠程無需用戶驗證通過發(fā)送構(gòu)造特殊的惡意數(shù)據(jù)在目標系統(tǒng)上執(zhí)行惡意代碼,從而獲取機器的完全控制。此漏洞主要影響的設(shè)備為Windows 7、Window Server 2008以及微軟已不再支持的Windows 2003、Window XP操作系統(tǒng),涉及系統(tǒng)在國內(nèi)依然有大量的使用,所以此漏洞的影響面巨大,到2019年9月7日,奇安信全球鷹系統(tǒng)評估互聯(lián)網(wǎng)上可被直接攻擊的國內(nèi)受影響RDP服務(wù)器還大量存在。由于漏洞利用無需用戶交互的特性結(jié)合巨大的影響面,意味著該漏洞極有可能被蠕蟲所利用,如果漏洞利用穩(wěn)定有可能導(dǎo)致類似WannaCry蠕蟲泛濫的情況發(fā)生。


奇安信息威脅情報中心紅雨滴團隊第一時間跟進該漏洞并保持關(guān)注,目前已經(jīng)確認利用此漏洞可以至少非常穩(wěn)定地觸發(fā)受影響系統(tǒng)藍屏崩潰從而導(dǎo)致拒絕服務(wù),到5月31日已有公開渠道發(fā)布可以導(dǎo)致系統(tǒng)藍屏崩潰的POC代碼出現(xiàn),有企圖的攻擊者可以利用此POC工具對大量存在漏洞的系統(tǒng)執(zhí)行遠程拒絕服務(wù)攻擊。至2019年9月7日,已有可導(dǎo)致遠程代碼執(zhí)行的Metasploit模塊公開發(fā)布,隨著工具的擴散,已經(jīng)構(gòu)成了蠕蟲級的現(xiàn)實安全威脅。


相關(guān)廠商微軟針對此漏洞已經(jīng)發(fā)布了安全補?。ò切┮呀?jīng)不再提供技術(shù)支持的老舊操作系統(tǒng)),強烈建議用戶立即安裝相應(yīng)的補丁或其他緩解措施以避免受到相關(guān)的威脅。

 

漏洞概要


漏洞名稱 Microsoft Windows Remote Desktop Services遠程代碼執(zhí)行漏洞 

威脅類型 遠程代碼執(zhí)行 威脅等級 嚴重 漏洞ID CVE-2019-0708 

利用場景 未經(jīng)身份驗證的攻擊者可以通過發(fā)送特殊構(gòu)造的數(shù)據(jù)包觸發(fā)漏洞,可能導(dǎo)致遠程無需用戶驗證控制系統(tǒng)

受影響系統(tǒng)及應(yīng)用版本 

Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) 


漏洞描述

漏洞存在Windows的Remote Desktop Services(遠程桌面服務(wù))中,技術(shù)細節(jié)已知但在此不再詳述,對于漏洞的利用無需用戶驗證,通過構(gòu)造惡意請求即可觸發(fā)導(dǎo)致任意指令執(zhí)行,系統(tǒng)受到非授權(quán)控制。


影響面評估

此漏洞影響Windows 7、Window Server 2008以及微軟已不再支持的Windows 2003、Window XP操作系統(tǒng),目前通過技術(shù)評估,還存在大量未安裝補丁的RDP服務(wù)在線,影響面巨大。而且,已有公開渠道發(fā)布可導(dǎo)致遠程命令執(zhí)行的漏洞利用Exploit發(fā)布,形成非常明確急迫的蠕蟲級現(xiàn)實威脅,需要引起高度重視。
 

根據(jù)奇安信全球鷹系統(tǒng)的監(jiān)測,隨著漏洞被逐步地修補,國內(nèi)存在漏洞并通過互聯(lián)網(wǎng)可被遠程攻擊的IP還有大量存在,漏洞的修復(fù)狀況不容樂觀。

 

漏洞相關(guān)事件時間線

奇安信威脅情報中心總結(jié)了從微軟進行漏洞通告到公開渠道出現(xiàn)能導(dǎo)致遠程代碼執(zhí)行的POC代碼的時間線如下:
 

1. 2019年5月14日

微軟發(fā)布遠程桌面服務(wù)代碼執(zhí)行漏洞CVE-2019-0708的安全通告及相應(yīng)補丁,并特別針對此漏洞發(fā)布了專門的說明,提示這是一個可能導(dǎo)致蠕蟲泛濫的嚴重漏洞。

2. 2019年5月15日

奇安信威脅情報中心發(fā)布漏洞預(yù)警及處置方案,隨后奇安信安全產(chǎn)品線發(fā)布漏洞檢測修復(fù)工具。

3. 2019年5月22日

奇安信紅雨滴團隊發(fā)布非破壞性漏洞掃描工具并更新至奇安信漏洞檢測修復(fù)工具中。

4. 2019年5月23日

互聯(lián)網(wǎng)公開渠道出現(xiàn)具有非破壞性漏洞掃描功能的POC程序。

5. 2019年5月25日

黑客開始大規(guī)模掃描存在漏洞的設(shè)備。

6. 2019年5月30日

微軟再次發(fā)布對于CVE-2019-0708漏洞做修補的提醒,基于漏洞的嚴重性強烈建議用戶盡快升級修復(fù)。

7. 2019年5月31日

互聯(lián)網(wǎng)公開渠道出現(xiàn)能導(dǎo)致藍屏的POC代碼,奇安信威脅情報中心紅雨滴團隊已經(jīng)確認了POC代碼的可用性,漏洞相關(guān)的現(xiàn)實威脅進一步升級

 


結(jié)合目前已經(jīng)有黑客進行大規(guī)模掃描存在漏洞設(shè)備并進行收集的情況,很有可能導(dǎo)致現(xiàn)實中存在漏洞的主機被批量進行漏洞攻擊而導(dǎo)致大規(guī)模拒絕服務(wù),奇安信威脅情報中心提醒務(wù)必對資產(chǎn)進行檢查,并修補設(shè)備的漏洞。


1. 2019年6月8日

Metasploit的商業(yè)版本開始提供能導(dǎo)致遠程代碼執(zhí)行的漏洞利用模塊,隨之必然發(fā)生往公開渠道的擴散將形成蠕蟲級的安全威脅。


2. 2019年7月31日

商業(yè)漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模塊。


3. 2019年9月7日

已有公開渠道的Metasploit CVE-2019-0708漏洞利用模塊發(fā)布,構(gòu)成現(xiàn)實的蠕蟲威脅。


處置建議及修復(fù)方法

1. 目前軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補丁,奇安信威脅情報中心建議進行相關(guān)升級

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC

Windows XP 及Windows 2003可以在以下鏈接下載補?。?/span>

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

2. 奇安信公司推出了針對性的“CVE-2019-0708”漏洞檢測修復(fù)工具1.0.0.1004版:

https://www.qianxin.com/other/CVE-2019-0708

奇安信公司的其他安全產(chǎn)品:天堤防火墻、天眼高級威脅檢測系統(tǒng)、SOC及態(tài)勢感知系統(tǒng)都已經(jīng)支持對于此漏洞利用的檢測和防護。


臨時解決方案

1. 如暫時無法更新補丁,可以通過在系統(tǒng)上啟用網(wǎng)絡(luò)及身份認證(NLA)以暫時規(guī)避該漏洞影響。

2. 在企業(yè)外圍防火墻阻斷TCP端口3389的連接,或?qū)ο嚓P(guān)服務(wù)器做訪問來源過濾,只允許可信IP連接。

3. 如無明確的需求,可禁用遠程桌面服務(wù)。


參考資料

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

https://www.qianxin.com/other/CVE-2019-0708

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC

https://github.com/busterb/metasploit-framework/blob/bluekeep/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb