微软在5月月度更新中曾修复一个存在于远程桌面服务中的高危远程代码执行漏洞(CVE-2019-0708),该漏洞可以被蠕虫类攻击利用。 在对该漏洞的持续关注中发现,当地时间9月6日, Metasploit团队发布了针对此漏洞的Metasploit模块。据外媒报道,当前该模块需要在用户交互的情况下才能成功执行。Metasploit模块使用者必须向其提供一个参数,其中包含目标系统的信息。这意味着该漏洞利用不能以蠕虫方式进行传播,但可用于针对性的攻击。
综述
微软在5月月度更新中曾修复一个存在于远程桌面服务中的高危远程代码执行漏洞(CVE-2019-0708),该漏洞可以被蠕虫类攻击利用。鉴于此漏洞的威胁程度较高,微软当时针对已经停止维护的Windows版本也发布了安全补丁。
绿盟科技已于5月15号发布安全威胁通告,5月 31号发布针对此漏洞的检测和防护方法,详见参考连接[2]或见下文“漏洞排查”及“漏洞防护”。
在对该漏洞的持续关注中发现,当地时间9月6日, Metasploit团队发布了针对此漏洞的Metasploit模块。据外媒报道,当前该模块需要在用户交互的情况下才能成功执行。Metasploit模块使用者必须向其提供一个参数,其中包含目标系统的信息。这意味着该漏洞利用不能以蠕虫方式进行传播,但可用于针对性的攻击。此外,BlueKeep Metasploit模块只适用于64位版本的Windows 7和Windows 2008 R2,但不适用于其他易受BlueKeep攻击的Windows版本。
但是有现成的利用工具出现后,还是降低了攻击者实施攻击的门槛,因此再次提醒未进行补丁安装的用户尽快安装升级进行防护。
参考链接:
[1]https://blog.nsfocus.net/cve-2019-0708/
[2]https://blog.nsfocus.net/nips-cve-2019-0708/
[3]https://www.zdnet.com/article/metasploit-team-releases-bluekeep-exploit/
受影响版本
- Windows 7
- Windows Server 2008 R2
- Windows Server 2008
- Windows Server 2003(已停止维护)
- Windows XP(已停止维护)
不受影响版本
- Windows 8
- Windows 10
漏洞排查
1、 绿盟云检测
绿盟云提供在线的检测入口,企业用户可进入页面检测自有资产是否受此漏洞影响。
手机端访问地址:
https://cloud.nsfocus.com/megi/holes/hole_WindowsRDP_2019_5_15.html
PC端访问地址:
https://cloud.nsfocus.com/#/secwarning/secwarning_news
2、 产品检测
绿盟远程安全评估系统(RSAS)已经针对该漏洞提供了原理扫描规则支持,规则升级包详情见下表:
| 升级包版本号 | 升级包下载链接 | |
| RSAS V6 系统插件包 | V6.0R02F01.1411 | http://update.nsfocus.com/update/downloads/id/28802 |
| RSAS V5系统插件包 | 051840 | http://update.nsfocus.com/update/downloads/id/28822 |
关于RSAS的配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
漏洞防护
1、 产品防护
针对此漏洞,绿盟科技防护产品已发布规则升级包,可形成针对此漏洞的防护能力。强烈建议相关用户升级至最新规则。安全防护产品规则版本号如下:
| 安全防护产品 | 规则版本号 | 升级包下载链接 | 规则编号 |
| IPS | 5.6.10.20340 | http://update.nsfocus.com/update/downloads/id/28804 | 【24489】 |
| 5.6.9.20340 | http://update.nsfocus.com/update/downloads/id/28803 | ||
| 5.6.8.778 | http://update.nsfocus.com/update/downloads/id/28794 | ||
| NF | 6.0.1.778 | http://update.nsfocus.com/update/downloads/id/28828 |
产品规则升级的操作步骤详见如下链接:
IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww
NF:https://mp.weixin.qq.com/s/bggqcm9VqHiPnfV1XoNuDQ
2、 官方补丁
微软官方已经发布更新补丁(包括官方停止维护版本),请用户及时进行补丁更新。获得并安装补丁的方式有三种:内网WSUS服务、微软官网Microsoft Update服务、离线安装补丁。
注:如果需要立即启动Windows Update更新,可以在命令提示符下键入wuauclt.exe /detectnow。
方式一:内网WSUS服务
适用对象:已加入搭建有WSUS服务器内网活动目录域的计算机,或手工设置了访问内网WSUS服务。
系统会定时自动下载所需的安全补丁并提示安装,请按提示进行安装和重启系统。
如果希望尽快安装补丁,请重新启动一次计算机即可。
方式二: 微软官网Microsoft Update服务
适用对象:所有可以联网,不能使用内网WSUS服务的计算机,包括未启用内网WSUS服务的计算机、启用了内网WSUS服务但未与内网连接的计算机。
未启用内网WSUS服务的计算机,请确保Windows自动更新启用,按照提示安装补丁并重启计算机。
启用内网WSUS服务的计算机但没有与内网连接的计算机,请点击开始菜单-所有程序-Windows Update,点击“在线检查来自Windows Update的更新”,按提示进行操作。
方式三: 离线安装补丁
下载对应的补丁安装包,双击运行即可进行修复,下载链接可参考本文“附录A 官方补丁下载链接”。
临时解决建议
若用户暂不方便安装补丁更新,可采取下列临时防护措施,对此漏洞进行防护。
1、 若用户不需要用到远程桌面服务,建议禁用该服务。
2、 在防火墙中对TCP 3389端口进行阻断。
3、 启用网络级认证(NLA),此方案适用于Windows 7, Windows Server 2008, and Windows Server 2008 R2。
附录 官方补丁下载链接
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。