威胁预警:危害堪比WannaCry,蠕虫级漏洞CVE-2019-0708利用代码公布
2019-09-09 来源:安全资讯
1 漏洞概况 江民赤豹网络安全实验室监测到,2019年9月7日晚上凌晨1点,Metaspolit上更新了CVE-2019-0708漏洞的利用代码。江民研究人员对公布的漏洞利用代码进行了验证,攻击者利用RDP协议
1 漏洞概况
江民赤豹网络安全实验室监测到,2019年9月7日晚上凌晨1点,Metaspolit上更新了CVE-2019-0708漏洞的利用代码。江民研究人员对公布的漏洞利用代码进行了验证,攻击者利用RDP协议的漏洞可以在无交互的情况下远程执行任意代码,这意味漏洞如果被攻击者利用,主机将处于不设防状态,可能发生WannaCry 永恒之蓝漏洞一样大规模的感染。这个漏洞是今年来说危害严重性最大的漏洞,危害性堪比“5.12 WannaCry”。
目前该漏洞利用代码只适用于64位版本的Windows 7和Windows 2008 R2,由于该漏洞是一个UAF漏洞,在利用过程中使用了Heap Grooming技术,目前公布的漏洞利用代码还并非完美,漏洞利用过程中有一定几率使目标主机蓝屏,且在Windows 2008 R2系统上还需要修改注册表选项才能使得该漏洞利用代码有效。
该漏洞首次发现于2019年5月14日,微软已经在官方发布了安全补丁,因为此漏洞是预身份验证且无需用户交互,这也就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,随着漏洞利用代码的公开发布,恶意攻击者可能利用该漏洞编写恶意软件,利用此漏洞进行恶意软件传播,其方式与2017年WannaCry恶意软件的传播方式类似,江民赤豹网络安全实验室提醒广大用户及时更新该漏洞补丁,防止恶意攻击者利用该漏洞对主机进行勒索、挖矿等恶意行为。
2 漏洞介绍
威胁类型:远程执行代码漏洞
威胁等级:高
漏洞名称:CVE-2019-0708
受影响系统版本:
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
不受影响系统版本:
Windows 8和Windows 10及之后版本
补丁下载地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331
https://www.catalog.update.microsoft.com/Search.aspx?q=kb4499175
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499180
3 漏洞危害
根据编号为CVE-2019-0708的安全公告,微软表示这个问题并非出在RDP协议上,而是在Remote Desktop Service(远程桌面服务)中。黑客可以通过Remote Desktop Service(远程桌面服务)向目标设备发送特制的请求,这个漏洞是预身份认证且不需要用户交互的,可以在不需要用户干预的情况下远程执行任意代码,最终可能会像野火一样蔓延至整个网络。任何利用这个漏洞的恶意程序都可以像2017年WannaCry一样在全球范围内传播,大面积感染设备。
4 解决方案
1、及时安装微软发布的安全更新补丁:
对于Windows 7及Windows Server 2008的用户,及时安装Windows发布的安全更新;对于Windows 2003及Windows XP的用户,及时更新系统版本。
2、临时解决方案:
(1) 若用户不需要用到远程桌面服务,建议禁用该服务;
(2) 开启系统防火墙或IP安全策略限制来源IP,即只允许指定IP访问3389端口;
(3) 在Windows 7, Windows Server 2008, and Windows Server 2008 R2 上启用网络身份认证(NLA)。
