針對近日曝出的Windows 遠端桌面無需授權認證的遠端程式碼執行漏洞(CVE-2019-0708),綠盟網路入侵防護系統(NIPS)釋出漏洞防護規則,可以檢測並阻斷對目標系統的漏洞攻擊。使用者可開啟綠盟NIPS自動規則升級功能或者至綠盟科技官網下載該規則升級包並更新至IPS裝置上,以保證目標系統不受該漏洞的攻擊。
同時,綠盟遠端安全評估系統RSAS已支援對此漏洞的遠端安全掃描,請升級到最新外掛升級包。有任何相關問題歡迎撥打諮詢熱線:400-818-6868。
一、事件背景
2019年5月15日,微軟Windows系統被爆出高危漏洞CVE-2019-0708。該漏洞利用遠端桌面埠3389的RDP協議進行攻擊。更加嚴重的是,此漏洞可以繞過使用者身份認證,不用任何的互動,直接透過RDP協議進行連線併傳送惡意程式碼或執行命令到伺服器中去,攻擊者一旦成功利用該漏洞,便可以在目標系統上執行任意程式碼。換句話說,該漏洞是“可傳播的”,這意味著任何利用該漏洞的惡意軟體都可能從受影響的計算機傳播到其他存在該漏洞的計算機,就像2017年WannaCry類蠕蟲病毒一樣在全球蔓延。
二、影響範圍
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
Windows XP
目前國內使用Windows伺服器的公司以及網站眾多,由於該漏洞可以在不需要使用者干預的情況下遠端執行任意程式碼,攻擊者可以製作自動化批次攻擊工具,從而進行大規模攻擊和傳播。
三、解決方案
1.官方補丁
微軟官方已經發布更新補丁(包括官方停止維護版本),請使用者及時進行補丁更新。獲得並安裝補丁的方式有三種:內網WSUS服務、微軟官網Microsoft Update服務、離線安裝補丁。
注:如果需要立即啟動Windows Update更新,可以在命令提示符下鍵入wuauclt.exe /detectnow。
2.綠盟NIPS防護方案
使用綠盟網路入侵防護系統NIPS,並將規則升級至最新版本。
3.臨時解決建議
若使用者暫不方便安裝補丁更新,也沒有綠盟NIPS裝置做安全防護,可採取下列臨時防護措施,對此漏洞進行防護。
1、 若使用者不需要用到遠端桌面服務,建議禁用該服務。
2、 在主機防火牆中對遠端桌面TCP 埠(預設為 3389)進行阻斷。
3、 啟用網路級認證(NLA),此方案適用於Windows 7, Windows Server 2008, and Windows Server 2008 R2。