安全研究 SECURITY SERVICE

Microsoft 远程桌面服务远程代码执行漏洞(CVE-2019-0708)

发布时间: 2019-05-15
来源:
浏览数: 580

2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。


Microsoft 远程桌面服务远程代码执行漏洞(CVE-2019-0708)











危险等级:高危


CVE编号:CVE-2019-0708

【参考链接】

https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-070


 影响版本 

Windows 7 for 32-bit SP1

Windows 7 for x64-based SP1

Windows Server 2008 for 32-bit SP2

Windows Server 2008 for 32-bit SP2 (Server Core installation)

Windows Server 2008 for Itanium-Based SP2

Windows Server 2008 for x64-based SP2

Windows Server 2008 for x64-based SP2 (Server Core installation)

Windows Server 2008 R2 for Itanium-BasedSystems SP1

Windows Server 2008 R2 for x64-based SP1

Windows Server 2008 R2 for x64-based SP1 (Server Core installation)

Windows XP SP3 x86

Windows XP SP2 x64

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 SP2 x64



不受影响版本:


Windows 8

Windows 10









【解 决 建 议】



  • 官方补丁

微软已经为该漏洞发布更新补丁(包括官方停止维护版本),请用户及时进行补丁更新。获得并安装补丁的方式有三种:内网WSUS服务、微软官网Microsoft Update服务、离线安装补丁。离线安装补丁下载地址如下:下载对应补丁安装包,双击运行即可进行修复。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708


官方已停止维护版本漏洞补丁下载地址如下:


https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708


Microsoft 远程桌面服务远程代码执行漏洞(CVE-2019-0708)


  • 临时解决方案


若暂不便安装补丁更新,可采取下列临时防护措施:

1、禁用远程桌面服务。

2、通过主机防火墙对远程桌面服务端口进行阻断(默认为TCP 3389)。

3、启用网络级认证(NLA),此方案适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。


交大捷普将会密切关注该漏洞相关事态的发展,进行持续研究跟踪并及时通报进展。


分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 11
    2020 - 08 - 11
    1、TeamViewer曝漏洞 计算机浏览特定网页即可被无密码入侵https://www.cnbeta.com/articles/tech/1013319.htm2、人脸信息灰色产业链引发关注 信息泄露或导致财产重大损失https://www.cnbeta.com/articles/tech/1013265.htm3、研究人员发现加州医院的未加密系统导致COVID-19患者个人资料遭泄露 https://www.cnbeta.com/articles/tech/1013191.htm4、Solidot | 恶意 Tor 出口节点如何利用用户https://www.solidot.org/story?sid=652035、GuLoader恶意软件下载器:利用“新冠肺炎”钓鱼到“顺丰速运”钓鱼https://www.freebuf.com/articles/terminal/244117.html
  • 点击次数: 14
    2020 - 05 - 06
    漏洞背景  近日,捷普安全实验室,监测到国外某安全团队披露了SaltStack存在认证绕过(CVE-2020-11651)和目录遍历(CVE-2020-11652)两个漏洞。具体分析如下。  影响版本  SaltStack SaltStack   漏洞分析  Ÿ   CVE-2020-11651(认证绕过漏洞):此漏洞由于ClearFuncs类没有正确地验证方法调用而导致。研究人员公布了_send_pub()、_prep_auth_info()利用方法,远程攻击者利用此漏洞无需认证即可调用_send_pub()及_prep_auth_info()方法。使用这些方法可以在Salt Master端服务器上检索到用户令牌,在Salt Minions端服务器上实现任意命令执行。Ÿ   CVE-2020-11652(目录遍历漏洞):此漏洞由于没有对访问路径进行正确过滤而导致,经过身份认证的攻击者利用此漏洞可以访问任意目录。  防御方案  使用捷普入侵防御系统(IPS)对漏洞进行检测;    使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。  缓解措施 SaltStack 官方已发布新版本修复上述漏洞,请手动升级至SaltStack2019.2.4及3000.2版本;https://repo.saltstack.com配置安全策略,禁止 Salt Master的监听端口(默认4505 和 4506)对公网开放或只允许可信IP访问监听端口;参考:https://labs.f-secure.com/advisories/saltstack-authorization-bypass
  • 点击次数: 7
    2020 - 04 - 24
    漏洞背景  通达OA官方在4月17日发布了最新的通达OA11.5.200417版本该版本修复了若干安全问题。在对更新的补丁,对比分析发现此次更新主要重点是修复了用户可以通过构造UID=1等恶意请求,绕过认证进行任意用户登录,甚至可通过构造恶意攻击代码,成功登录系统管理员账户,对后台系统进行任意操作。根据网络空间搜索引擎进行数据统计,国内使用通达OA系统的用户统计如下表:  影响版本  通达OA系统Ver.  漏洞分析  在分析官方的的补丁时发现此次更新主要针对用户登录逻辑相关处理部分,在对源文件使用Zend5.4解密后发现。在对代码跟踪后发现,用户在进行进行认证时,首先进行CODEUID的逻辑判断,如存在继续进行UID的判断,此处UID可直接使用POST方法进行构造,默认1为Admin用户,以上两处均进行库操作。跟进代码,此处的CODEUID在访问某文件后可进行直接打印。此处可利用POST将UID进行传入。  防御方案 使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。升级补丁,参考通达OA系统官网发布的补丁进行升级https://www.tongda2000.com/download/sp2019.php参考:https://www.tongda2000.com/download/sp2019.php
  • 点击次数: 99
    2020 - 04 - 07
    漏洞背景  近日,有消息称某黑客组织利用国内深信服SSL VPN设备漏洞,利用客户端升级漏洞下发恶意文件到用户客户端,威胁用户安全。对此,捷普安全实验室第一时间进行响应,并对相关攻击事件进行跟踪。2020年4月5日晚,深信服官方针对已确认遭受攻击的SSL VPN设备版本(M6.3R1版本、 M6.1版本)紧急发布修复补丁,并安排技术服务人员对受影响用户主动上门排查与修复。内容详见:https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw  漏洞分析   针对此次事件的相关设备——深信服SSL VPN,在对事件跟踪分析中发现,该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动VPN客户端连接VPN服务器时,客户端会从所连接的VPN服务器上固定位置的配置文件获取升级信息,并下载一个名为SangforUD.exe的程序执行。由于开发人员缺乏安全意识,整个升级过程存在安全漏洞,客户端仅对更新程序做了简单的版本对比,没有做任何的安全检查。攻击者利用深信服VPN设备的已知远程漏洞或弱口令获取对设备的控制。在修改VPN的升级配置文件,篡改升级包下载相关的配置信息,指向攻击者控制的恶意文件和对应文件MD5。利用此漏洞针对VPN用户定向散播后门程序。样本分析在对样本分析过程中,利用公开威胁情报获取到多个相关病毒样本SangforUD.exe,分析发现投递的恶意样本具备木马下载器功能,将内置加密的配置信息写入任务计划达到持久化攻击的效果,通过HTTP请求方式回传加密后的主机信息。其中HTTP提交的具备一定的特征,如固定的“----974767299852498929531610575”字符串,HTTP请求代码如下:恶意文件最终循环从C2服务器获取数据,并且保存文件到” \Ap...
  • 点击次数: 15
    2020 - 03 - 23
    漏洞背景  2020年3月18日,Adobe官方推出针对Adobe ColdFusion的安全更新补丁,编号为:APSB20-16.,补丁中包含了两个漏洞CVE-2020-3761(任意文件读取漏洞)和CVE-2020-3794(任意文件包含漏洞)。 2020年3月18日,Adobe官方推出针对Adobe ColdFusion的安全更新补丁,编号为:APSB20-16.,补丁中包含了两个漏洞CVE-2020-3761(任意文件读取漏洞)和CVE-2020-3794(任意文件包含漏洞),经捷普攻防实验室,验证测试发现漏洞真实存在,该漏洞相关信息可参考CVE-2020-1938 (Tomcat-Ajp协议任意文件读取漏洞&文件包含漏洞)。  漏洞描述  此次漏洞与CVE-2020-1938漏洞原因一致与Adobe ColdFusion的AJP connectors相关。Adobe ColdFusion在处理AJP协议的数据包时存在实现缺陷,导致相关参数可控。构造特定的数据包,进行测试发送即可。影响版本ColdFusion 2016 ColdFusion 2018 防御建议使用捷普网络脆弱性智能评估系统(NVAS)对漏洞进行检测。缓解措施升级补丁,参考Adobe官网发布的补丁进行升级:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html备注:(在管理控制台内也可完成对其升级操作)。参考:https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务