当前位置:首页 > 网络安全 > 安全通告 > 详情
安全漏洞预警通告-RDP远程桌面客户端远程代码执行漏洞预警
2019年09月11日   

1、 基本情况

  Microsoft发布了九月份安全补丁更新。在官方的安全更新公告中,出现了4RDP的远程桌面客户端的远程代码执行漏洞,CVE编号:CVE-2019-0787/0788/1290/1291。攻击者可以在连接存在漏洞客户端的计算机上执行任意代码。 

2、 攻击原理

  Remote Desktop Client是微软开发的用于实现远程桌面协议的一个客户端操作软件。用户可以使用Microsoft远程桌面客户端从任意地方连接到远程PC主机和工作资源,并可以访问所有应用程序,文件和网络资源。 

  20195月份,微软更新了一个RDP远程代码执行漏洞--CVE-2019-0708,恶意攻击者若成功利用此漏洞可能会造成堪比2018Wannacry事件的严重影响,由于发现和防御及时,该漏洞未造成严重影响,但仍然引起高度重视。此次微软补丁日的补丁更新再度公开了RDP的最新远程代码执行漏洞。 

  CVE-2019-1181以及CVE-2019-1182,均属于远程代码执行漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞。此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户。 

  而微软九月份的安全更新披露的4个与RDP相关的漏洞,已经从RDP协议本身转移到RDP相关的利用软件,且利用方式也发生了变化,但造成的影响依然巨大。 

  此次披露的4CVE需要攻击者使用社交工程、DNS中毒、中间人等技术诱骗受害者进行恶意服务器的连接,这大大降低了用户被攻击的频率。需要注意的是,微软官方特别指出了攻击者可以先攻击合法服务器,然后在服务器上托管恶意代码,等待用户连接。这种攻击方式的影响力巨大,且一旦被感染,很有可能造成大范围的主机沦陷。该种攻击方式可被攻击者用来构建僵尸网络。 

3、 影响范围

  目前受影响的Windows版本: 

  1) 4CVE普遍影响版本: 

  Microsoft Windows 10及其之后更新版本  

  Microsoft Windows 7 for x64-based Systems SP1 

  Microsoft Windows 7 for 32-bit Systems SP1 

  Microsoft Windows 8.1 for 32-bit Systems 

  Microsoft Windows 8.1 for 64-bit Systems 

  Microsoft Windows RT 8.1 

  2) CVE-2019-1290/1291额外影响版本: 

  Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 

  Microsoft Windows Server 2008 R2 for x64-based Systems SP1 

  Microsoft Windows Server 2012 

  Microsoft Windows Server 2012 R2 

  Microsoft Windows Server 2016 

  Microsoft Windows Server 2019 

  Microsoft Windows Server 1803/1903   

4、 处置建议

  1) 及时安装微软发布的安全更新补丁 

  Microsoft官方已经在 2019911日修复了这4个漏洞,用户可以通过安装微软的安全更新来给系统打上安全补丁,下载地址为: 

  CVE-2019-0787: 

  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0787 

  CVE-2019-0788 

  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0788 

  CVE-2019-1290: 

  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1290 

  CVE-2019-1291 

  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1291 

  2) 缓解措施(在无法及时安装微软安全更新的情况下作为临时性解决方案): 

  针对该4个漏洞暂无任何缓解措施,需要用户提升安全意识,不要访问未知安全状态的服务器,不要安装来源不明的软件,以防范漏洞攻击。 

5、参考链接

  1) https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0787 

  2) https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0788 

  3) https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1290 

  4) https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1291 

  5) https://portal.msrc.microsoft.com/en-us/security-guidance/acknowledgments