北京時(shí)間9月7日凌晨，有開發(fā)者在GitHub上發(fā)布了Windows RDP服務(wù)蠕蟲級(jí)漏洞 (CVE-2019-0708) 的Metasploit利用模塊，可導(dǎo)致舊版本W(wǎng)indows無(wú)交互遠(yuǎn)程代碼執(zhí)行。
隨著工具的擴(kuò)散，該漏洞有可能導(dǎo)致類似WannaCry泛濫的情況發(fā)生，已經(jīng)構(gòu)成了蠕蟲級(jí)的現(xiàn)實(shí)安全威脅。 以下轉(zhuǎn)載自奇安信威脅情報(bào)中心的預(yù)警： 2019年05月15日，微軟公布了5月的補(bǔ)丁更新列表，在其中存在一個(gè)被標(biāo)記為嚴(yán)重的RDP（遠(yuǎn)程桌面服務(wù)）遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可以利用此漏洞遠(yuǎn)程無(wú)需用戶驗(yàn)證通過(guò)發(fā)送構(gòu)造特殊的惡意數(shù)據(jù)在目標(biāo)系統(tǒng)上執(zhí)行惡意代碼，從而獲取機(jī)器的完全控制。此漏洞主要影響的設(shè)備為Windows 7、Window Server 2008以及微軟已不再支持的Windows 2003、Window XP操作系統(tǒng)，涉及系統(tǒng)在國(guó)內(nèi)依然有大量的使用，所以此漏洞的影響面巨大。


本次漏洞時(shí)間線
2019年5月14日
微軟發(fā)布遠(yuǎn)程桌面服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞CVE-2019-0708的安全通告及相應(yīng)補(bǔ)丁，并特別針對(duì)此漏洞發(fā)布了專門的說(shuō)明，提示這是一個(gè)可能導(dǎo)致蠕蟲泛濫的嚴(yán)重漏洞.

2019年5月15日
斗象智能安全平臺(tái)發(fā)布漏洞預(yù)警信息及處置方案，隨后斗象智能安全平臺(tái)ARS/PRS上線漏洞檢測(cè)工具.

2019年5月23日
互聯(lián)網(wǎng)公開渠道出現(xiàn)具有非破壞性漏洞掃描功能的PoC程序.

2019年5月25日
黑客開始大規(guī)模掃描存在漏洞的設(shè)備.

2019年5月30日
微軟再次發(fā)布對(duì)于CVE-2019-0708漏洞做修補(bǔ)的提醒，基于漏洞的嚴(yán)重性強(qiáng)烈建議用戶盡快升級(jí)修復(fù).

2019年5月31日
互聯(lián)網(wǎng)公開渠道出現(xiàn)能導(dǎo)致藍(lán)屏的PoC代碼，斗象安全應(yīng)急響應(yīng)團(tuán)隊(duì)已經(jīng)確認(rèn)了PoC代碼的可用性.

2019年6月8日
Metasploit的商業(yè)版本開始提供能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的漏洞利用模塊.

2019年7月31日
商業(yè)漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模塊.

2019年9月7日
已有公開渠道的Metasploit CVE-2019-0708漏洞利用模塊發(fā)布，構(gòu)成現(xiàn)實(shí)的蠕蟲威脅。


 漏洞危害
成功利用此漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。然后攻擊者可以安裝程序; 查看，更改或刪除數(shù)據(jù); 或創(chuàng)建具有完全用戶權(quán)限的新帳戶。


 影響范圍: Windows 操作系統(tǒng)
版本
Windows 7
Windows Server 2008 R2（即將停止維護(hù)）
Windows Server 2008（即將停止維護(hù)）
Windows Server 2003（已停止維護(hù)）
Windows XP（已停止維護(hù)）

組件: 遠(yuǎn)程桌面服務(wù)


修復(fù)方案
1、官方補(bǔ)丁
     通過(guò)Windows 操作系統(tǒng)中的自動(dòng)更新功能進(jìn)行更新；
     針對(duì)系統(tǒng)版本參考文末列表下載補(bǔ)丁進(jìn)行運(yùn)行安裝。

2、臨時(shí)解決建議
    禁用遠(yuǎn)程桌面服務(wù)；
    在防火墻中對(duì)遠(yuǎn)程桌面服務(wù)端口(3389)進(jìn)行阻斷；
    在Windows 7, Windows Server 2008, and Windows Server 2008 R2 上啟用網(wǎng)絡(luò)身份認(rèn)證。