Windows系列服務(wù)器于2019年5月15號，被爆出高危漏洞，該漏洞影響范圍較廣，windows2003、windows2008、windows2008 R2、windows xp系統(tǒng)都會遭到攻擊，該服務(wù)器漏洞利用方式是通過遠程桌面端口3389，RDP協(xié)議進行攻擊的，這個漏洞是今年來說危害嚴重性最大的漏洞，跟之前的勒索，永恒之藍病毒差不多

目前國內(nèi)使用windows服務(wù)器的公司，以及網(wǎng)站太多，尤其阿里云服務(wù)器，騰訊云的服務(wù)器，百度云服務(wù)器，西部數(shù)碼服務(wù)器，都在第一時間短信通知用戶。關(guān)于RDP遠程桌面漏洞的詳情，我們來看下：

針對微軟第一時間公布了CVE-2019-0708漏洞的修復(fù)補丁，我們對比補丁發(fā)現(xiàn)僅僅是對termdd.sys遠程驅(qū)動做了修改，在驅(qū)動的strcmp里做了限制，我們跟蹤上面的修改參數(shù)追蹤到遠程桌面的一個調(diào)用函數(shù)里，對該函數(shù)微軟寫死了，我們判斷是這個函數(shù)可以插入惡意代碼導(dǎo)致遠程執(zhí)行漏洞發(fā)生，具體怎么利用CVE-2019-0708漏洞，目前沒有poc公布，估計很快會在github上出現(xiàn)。

CVE-2019-0708漏洞是通過檢查用戶的身份認證，導(dǎo)致可以繞過認證，不用任何的交互，直接通過rdp協(xié)議進行連接發(fā)送惡意代碼執(zhí)行命令到服務(wù)器中去。如果被攻擊者利用，會導(dǎo)致服務(wù)器入侵，中病毒，像WannaCry 永恒之藍漏洞一樣大規(guī)模的感染。

CVE-2019-0708漏洞修復(fù)補丁以及安全建議

有些windows2008系統(tǒng)打不了補丁的一般是數(shù)據(jù)中心版本，可以設(shè)置一下服務(wù)器，計算機右鍵屬性-遠程設(shè)置-僅允許運行使用網(wǎng)絡(luò)基本身份驗證的遠程桌面的計算機連接（更安全）（N），在這行點勾，然后確認即可，可以臨時的防止漏洞的攻擊。

如果對補丁不知道該如何修復(fù)的，可以啟用阿里云的端口安全策略，禁止掉3389遠程端口，只允許自己的IP通信即可。

1.Windows Server 2008 漏洞補丁系列下載地址

Windows Server 2008 32位系統(tǒng):

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu

Windows Server 2008 x64位系統(tǒng):

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu

Windows Server 2008 R2 Itanium系統(tǒng):

http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu

Windows Server 2008 R2 x64系統(tǒng):

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Server 2008 Itanium:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu

2.Windows Server 2003 漏洞補丁系列下載地址

Windows Server 2003 32位系統(tǒng):

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe

Windows Server 2003 64位系統(tǒng):

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe

3. Windows XP 漏洞補丁系列下載地址

Windows XP SP3 32位系統(tǒng):

http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe

Windows XP SP2 64位系統(tǒng):

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe

Windows XP SP3 for XPe:

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe

下面是一些補充說明

本文引用翻譯來源于微軟官網(wǎng)（鏈接查看：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708）

遠程桌面服務(wù)（以前稱為終端服務(wù)）中存在遠程執(zhí)行代碼漏洞CVE-2019-0708修復(fù)程序，當(dāng)未經(jīng)身份驗證的攻擊者使用RDP連接到目標(biāo)系統(tǒng)并發(fā)送特制請求時。此漏洞是預(yù)身份驗證，無需用戶交互。成功利用此漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

然后攻擊者可以安裝程序; 查看、更改或刪除數(shù)據(jù)； 或創(chuàng)建具有完全用戶權(quán)限的新帳戶。要利用此漏洞，攻擊者需要通過RDP向目標(biāo)系統(tǒng)遠程桌面服務(wù)發(fā)送特制請求。

受影響系統(tǒng)：

受影響的并且還在提供支持的系統(tǒng)包括Windows 7、Windows Server 2008 R2和Windows Server 2008。Windows提供支持的版本的下載可以在微軟安全更新指南中找到。使用受影響版本的Windows并且開啟了自動更新系統(tǒng)的用戶會自動受到保護。

已經(jīng)不提供支持的系統(tǒng)包括Windows 2003和Windows XP。如果您使用的是不支持的版本，解決此漏洞的最佳方法是升級到最新版本的Windows。盡管如此，我們還是對KB4500705中這些不提供支持Windows的版本進行了修復(fù)。

運行Windows 8和Windows 10的用戶不會受到此漏洞的影響，而Windows的后續(xù)版本也不會受到影響。微軟在加強其產(chǎn)品的安全性方面投入了大量資金，通常是通過重大的架構(gòu)改進，而這些改進是不可能移植到Windows的早期版本的。

補丁下載

Windows 7、Windows 2008 R2和Windows 2008的補丁下載鏈接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Windows 2003和Windows XP的補丁下載鏈接：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

應(yīng)急方案

針對已經(jīng)中了勒索病毒基礎(chǔ)響應(yīng)措施

某臺主機在感染勒索病毒后，除了自身會被加密， 勒索病毒往往還會利用這臺主機去攻擊同一局域網(wǎng)內(nèi)的其他主機， 所以當(dāng)發(fā)現(xiàn)一臺主機已被感染， 應(yīng)盡快采取響應(yīng)措施， 以下基礎(chǔ)措施即使不是專業(yè)的人員也可以進行操作， 以盡可能減少損失。

隔離中毒主機

① 物理隔離

斷網(wǎng)，拔掉網(wǎng)線或禁用網(wǎng)卡， 筆記本也要禁用無線網(wǎng)絡(luò)。

②邏輯隔離

訪問控制、 關(guān)閉端口、 修改密碼。 訪問控制可以由防火墻等設(shè)備來設(shè)置， 禁止已感染主機與其他主機相互訪問；

視情況關(guān)閉 135、139、445、3389 等端口， 避免漏洞被或 RDP（遠程桌面服務(wù)） 被利用；

盡快修改被感染主機與同一局域網(wǎng)內(nèi)的其他主機的密碼， 尤其是管理員（Windows 下的 Administrator， Linux 下的 root） 密碼，密碼長度不少于 8 個字符， 至少包含以下四類字符中的三類：大小寫字母、 數(shù)字、特殊符號， 不能是人名、 計算機名、 用戶名等。

排查其他主機

隔離已感染主機后， 應(yīng)盡快排查業(yè)務(wù)系統(tǒng)與備份系統(tǒng)是否受到影響， 確定病毒影響范圍， 準(zhǔn)備事后恢復(fù)。 如果存在備份系統(tǒng)且備份系統(tǒng)是安全的， 就可以將損失降到最低， 也可以最快的恢復(fù)業(yè)務(wù)。

主機加固

主機感染病毒一般都是由未修復(fù)的系統(tǒng)漏洞、 未修復(fù)的應(yīng)用漏洞或者弱口令導(dǎo)致，所以在已知局域網(wǎng)內(nèi)已有主機感染并將之隔離后， 應(yīng)檢測其他主機是否有上述的問題存在。

①系統(tǒng)漏洞可以使用免費的安全軟件檢測并打補丁。

② 應(yīng)用漏洞可以使用免費的漏掃產(chǎn)品（AWVS、 APPScan 等） 檢測并升級或采用其他方式修復(fù)。

③弱口令應(yīng)立即修改，密碼長度不少于 8 個字符，至少包含以下四類字符中的三類： 大小寫字母、 數(shù)字、 特殊符號， 不能是人名、 計算機名、 用戶名等。

最新評論