威脅預警：蠕蟲級漏洞，危害堪比WannaCry

1 漏洞概況

江民赤豹網路安全實驗室監測到，2019年9月7日晚上凌晨1點，Metaspolit上更新了CVE-2019-0708漏洞的利用程式碼。江民研究人員對公佈的漏洞利用程式碼進行了驗證，攻擊者利用RDP協議的漏洞可以在無互動的情況下遠端執行任意程式碼，這意味漏洞如果被攻擊者利用，主機將處於不設防狀態，可能發生WannaCry 永恆之藍漏洞一樣大規模的感染。這個漏洞是今年來說危害嚴重性最大的漏洞，危害性堪比“5.12 WannaCry”。

目前該漏洞利用程式碼只適用於64位版本的Windows 7和Windows 2008 R2，由於該漏洞是一個UAF漏洞，在利用過程中使用了Heap Grooming技術，目前公佈的漏洞利用程式碼還並非完美，漏洞利用過程中有一定機率使目標主機藍色畫面，且在Windows 2008 R2系統上還需要修改登錄檔選項才能使得該漏洞利用程式碼有效。

該漏洞首次發現於2019年5月14日，微軟已經在官方釋出了安全補丁，因為此漏洞是預身份驗證且無需使用者互動，這也就意味著這個漏洞可以透過網路蠕蟲的方式被利用。利用此漏洞的任何惡意軟體都可能從被感染的計算機傳播到其他易受攻擊的計算機，隨著漏洞利用程式碼的公開發布，惡意攻擊者可能利用該漏洞編寫惡意軟體，利用此漏洞進行惡意軟體傳播，其方式與2017年WannaCry惡意軟體的傳播方式類似，江民赤豹網路安全實驗室提醒廣大使用者及時更新該漏洞補丁，防止惡意攻擊者利用該漏洞對主機進行勒索、挖礦等惡意行為。

2 漏洞介紹

威脅型別：遠端執行程式碼漏洞

威脅等級：高

漏洞名稱：CVE-2019-0708

受影響系統版本：

不受影響系統版本：

Windows 8和Windows 10及之後版本

補丁下載地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331

https://www.catalog.update.microsoft.com/Search.aspx?q=kb4499175

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499180

3 漏洞危害

根據編號為CVE-2019-0708的安全公告，微軟表示這個問題並非出在RDP協議上，而是在Remote Desktop Service（遠端桌面服務）中。駭客可以透過Remote Desktop Service（遠端桌面服務）向目標裝置傳送特製的請求，這個漏洞是預身份認證且不需要使用者互動的，可以在不需要使用者干預的情況下遠端執行任意程式碼，最終可能會像野火一樣蔓延至整個網路。任何利用這個漏洞的惡意程式都可以像2017年WannaCry一樣在全球範圍內傳播，大面積感染裝置。

4 解決方案

1、及時安裝微軟釋出的安全更新補丁：

對於Windows 7及Windows Server 2008的使用者，及時安裝Windows釋出的安全更新;對於Windows 2003及Windows XP的使用者，及時更新系統版本。

2、臨時解決方案：

(1) 若使用者不需要用到遠端桌面服務，建議禁用該服務；

(2) 開啟系統防火牆或IP安全策略限制來源IP，即只允許指定IP訪問3389埠;

(3) 在Windows 7, Windows Server 2008, and Windows Server 2008 R2 上啟用網路身份認證（NLA）。