Windows7易稠、2008缸废、2003再現(xiàn)“永恒之藍(lán)”級漏洞

5月15日，微軟發(fā)布安全補(bǔ)丁修復(fù)了CVE編號為CVE-2019-0708的Windows遠(yuǎn)程桌面服務(wù)（RDP）遠(yuǎn)程代碼執(zhí)行漏洞驶社，該漏洞在不需身份認(rèn)證的情況下即可遠(yuǎn)程觸發(fā)企量，危害與影響面極大。

奇安信通過全球鷹分析發(fā)現(xiàn)國內(nèi)有超過150萬臺主機(jī)對外開放3389端口亡电，可能受到漏洞影響届巩。

一、漏洞描述：

Windows 遠(yuǎn)程桌面服務(wù)（RDP）主要用于管理人員對 Windows 服務(wù)器進(jìn)行遠(yuǎn)程管理份乒，使用量極大恕汇。

近日，微軟官方披露Windows中的遠(yuǎn)程桌面服務(wù)中存在遠(yuǎn)程代碼執(zhí)行漏洞或辖，未經(jīng)身份認(rèn)證的攻擊者可使用RDP協(xié)議連接到目標(biāo)系統(tǒng)并發(fā)送精心構(gòu)造的請求可觸發(fā)該漏洞瘾英。

成功利用此漏洞的攻擊者可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，可安裝應(yīng)用程序颂暇，查看缺谴、更改或刪除數(shù)據(jù)，創(chuàng)建完全訪問權(quán)限的新賬戶等耳鸯。

二湿蛔、風(fēng)險等級：

奇安信安全監(jiān)測與響應(yīng)中心風(fēng)險評級為：高危

預(yù)警等級：藍(lán)色預(yù)警（一般事件）

三膀曾、影響范圍：

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack1

Windows Server 2008 for 32-bit SystemsService Pack 2

Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based SystemsService Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1

Windows Server 2008 R2 for x64-based SystemsService Pack 1

Windows Server 2008 R2 for x64-based SystemsService Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP Professional x64 Edition SP2

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 x64 Edition SP2

四、處理建議：

1．官方補(bǔ)丁下載地址：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

2．系統(tǒng)版本對應(yīng)最新補(bǔ)丁下載：

操作系統(tǒng)版本補(bǔ)丁下載鏈接

Windows 7x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

Windows 7 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Embedded Standard 7 for x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Embedded Standard 7 for x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

Windows Server 2008 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu

Windows Server 2008 Itanium

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu

Windows Server 2008 x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu

Windows Server 2008 R2 Itanium

http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu

Windows Server 2008 R2 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Server 2003 x86

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe

Windows Server 2003 x64

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe

Windows XP SP3

http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe

Windows XP SP2 for x64

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe

Windows XP SP3 for XPe

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe

?五阳啥、緩解方法

1. 在企業(yè)邊界防火墻處阻止 TCP 端口 3389

2. 使用天擎策略禁止遠(yuǎn)程桌面到終端添谊。

a) 登錄天擎控制臺，進(jìn)入策略中心——管控策略察迟，創(chuàng)建新模板（或修改原有模板）

b) 啟用“桌面加固”斩狱，將“計(jì)算機(jī)遠(yuǎn)程桌面到本機(jī) ”設(shè)置為“禁用”。

（圖片不清晰可放大觀看）

c) 分發(fā)該策略到全網(wǎng)計(jì)算機(jī)

六卷拘、修復(fù)方法

1. 更新奇安信集團(tuán)2019.05.15.1版本及之后的補(bǔ)丁庫喊废。

2. 在策略中心修改策略為“安裝補(bǔ)丁后自動重啟”，系統(tǒng)補(bǔ)丁安裝后必須要重啟栗弟，否則并沒有修復(fù)漏洞，仍然會被利用攻擊工闺。（6.6版本支持乍赫，其他版本的用戶在單點(diǎn)維護(hù)中單點(diǎn)的下發(fā)重啟任務(wù)，或者通過別的方法要求終端用戶配合重啟）

3. 在天擎控制臺——終端管理——漏洞管理——按終端顯示陆蟆，下發(fā)全網(wǎng)掃描任務(wù)雷厂，讓所有的終端掃描補(bǔ)丁情況。

（圖片不清晰可放大觀看）

4. 在天擎控制臺——終端管理——漏洞管理——按漏洞顯示叠殷，找到需要緊急的漏洞對應(yīng)的補(bǔ)丁改鲫，手動按分組分多個批次下發(fā)修復(fù)任務(wù)。

（圖片不清晰可放大觀看）

<轉(zhuǎn)自：奇安信集團(tuán)微信公眾號>