针对近日曝出的Windows 远程桌面无需授权认证的远程代码执行漏洞(CVE-2019-0708),绿盟网络入侵防护系统(NIPS)发布漏洞防护规则,可以检测并阻断对目标系统的漏洞攻击。用户可开启绿盟NIPS自动规则升级功能或者至绿盟科技官网下载该规则升级包并更新至IPS设备上,以保证目标系统不受该漏洞的攻击。
同时,绿盟远程安全评估系统RSAS已支持对此漏洞的远程安全扫描,请升级到最新插件升级包。有任何相关问题欢迎拨打咨询热线:400-818-6868。
01 事件背景
2019年5月15日,微软Windows系统被爆出高危漏洞CVE-2019-0708。该漏洞利用远程桌面端口3389的RDP协议进行攻击。更加严重的是,此漏洞可以绕过用户身份认证,不用任何的交互,直接通过RDP协议进行连接并发送恶意代码或执行命令到服务器中去,攻击者一旦成功利用该漏洞,便可以在目标系统上执行任意代码。换句话说,该漏洞是“可传播的”,这意味着任何利用该漏洞的恶意软件都可能从受影响的计算机传播到其他存在该漏洞的计算机,就像2017年WannaCry类蠕虫病毒一样在全球蔓延。
02 影响范围
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003
Windows XP
目前国内使用Windows服务器的公司以及网站众多,由于该漏洞可以在不需要用户干预的情况下远程执行任意代码,攻击者可以制作自动化批量攻击工具,从而进行大规模攻击和传播。
03 解决方案
官方补丁
微软官方已经发布更新补丁(包括官方停止维护版本),请用户及时进行补丁更新。获得并安装补丁的方式有三种:内网WSUS服务、微软官网Microsoft Update服务、离线安装补丁。
注:如果需要立即启动Windows Update更新,可以在命令提示符下键入wuauclt.exe /detectnow。
绿盟NIPS防护方案
使用绿盟网络入侵防护系统NIPS,并将规则升级至最新版本。
临时解决建议
若用户暂不方便安装补丁更新,也没有绿盟NIPS设备做安全防护,可采取下列临时防护措施,对此漏洞进行防护。
1、 若用户不需要用到远程桌面服务,建议禁用该服务。
2、 在主机防火墙中对远程桌面TCP 端口(默认为 3389)进行阻断。
3、 启用网络级认证(NLA),此方案适用于Windows 7, Windows Server 2008, and Windows Server 2008 R2。