首页 > 安全研究 > 安全通报 > 安全通告

微软RDP远程桌面服务多个RCE漏洞安全通告

发布时间 2019-08-14

• 漏洞编号和级别


CVE编号:CVE-2019-1181,危险级别:严重,CVSS分值:9.8
CVE编号:CVE-2019-1182,危险级别:严重,CVSS分值:9.8
CVE编号:CVE-2019-1222,危险级别:严重,CVSS分值:9.8
CVE编号:CVE-2019-1226,危险级别:严重,CVSS分值:9.8


• 影响版本


受影响的版本


Windows 7 SP1、Windows Server 2008 R2 SP1、 Windows Server 2012、Windows 8.1、Windows Server 2012 R2和所有受支持的包括服务器版本在内的Windows 10 版本


不受影响的版本


Windows XP、Windows Server 2003和 Windows Server 2008 均不受影响,以及远程桌面协议 (RDP) 本身并不受影响


• 漏洞概述


微软星期二发布了例行补丁修复方案,其中包含4个严重的远程桌面服务远程代码执行漏洞。攻击者可以通过构造恶意特殊的RDP请求触发漏洞,获取在目标系统上的远程代码执行权限。从微软公告中来看,该漏洞为预身份验证,即无需用户交互,这意味着该漏洞有可能被蠕虫所利用。


目前网络上开放RDP服务的服务器数量巨大,影响面极大。


微软还公布了针对CVE-2019-1181/CVE-2019-1182启用了网络级别认证 (NLA) 功能的受影响系统的缓解措施。由于漏洞被触发前,NLA 要求进行认证,因此受影响系统缓解了能够利用该漏洞的“蠕虫级”恶意软件或高阶的恶意软件威胁。然而,如果攻击者具有能够被用于进行认证的合法凭证,因此受影响系统仍然易受远程代码执行利用的攻击。


• 漏洞验证


暂无POC/EXP。


• 修复建议


目前,微软官方已经发布补丁修复了上述漏洞,建议用户尽快采取修补措施,以避免潜在的安全威胁。想要进行更新,只需转到设置→更新和安全→Windows 更新→检查更新,或者也可以通过手动进行更新。


缓解措施,针对CVE-2019-1181/CVE-2019-1182:


1. 在系统上启用网络及身份认证(NLA)以暂时规避该漏洞影响


2. 在企业外围防火墙阻断TCP端口3389的链接


3. 如无需求,可禁用相关远程桌面服务


• 参考链接


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

上一篇 下一篇