CVE-2019-0708/1181/1182:Windows RDP服务蠕虫级漏洞修复指南V3 安全响应中心

user 2019-9-7 161

2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。
此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。成功利用此漏洞的攻击者可以在目标系统完成安装应用程序,查看、更改或删除数据,创建完全访问权限的新账户等操作。
此漏洞的相关事件时间线如下:
2019年05月14日:微软官方发布远程桌面服务远程代码执行漏洞(CVE-2019-0708)的安全通告及相应补丁。
2019年05月15日:360CERT发布安全预警以及修复指南,360安全实验室发布漏洞一键检测修复工具。
2019年05月30日:微软再次发布公告强烈建议受到CVE-2019-0708漏洞影响的用户尽快升级修复。
2019年05月31日:互联网流传出可以导致系统蓝屏崩溃的PoC代码,有企图的攻击者可以利用此PoC工具对大量存在漏洞的系统执行远程拒绝服务攻击。
2019年06月08日:Metasploit的商业版本开始提供能导致远程代码执行的漏洞利用模块。
2019年07月31日:商业漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模块。
2019年08月14日:微软官方发布远程桌面服务远程代码执行漏洞(CVE-2019-1181/1182)的安全通告及相应补丁。
2019年09月07日:@rapid7 在其metasploit-framework仓库公开发布了CVE-2019-0708的利用模块,漏洞利用工具已经开始扩散,已经构成了蠕虫级的攻击威胁。
CVE-2019-0708已公开的漏洞利用工具可以极易的被普通攻击者使用,脚本化/批量化/自动化攻击将接踵而至。
经研判,360CERT确认漏洞等级严重,影响面广,建议相关单位、企业内部立即进行安全排查,给在漏洞影响范围内的服务器、主机及时更新安全补丁。
 
0x01 影响范围
CVE-2019-0708
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
Windows 8和Windows 10及之后版本的用户不受此漏洞影响。
CVE-2019-1181/1182
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for 64-based Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)
Windows Server, version 1903 (Server Core installation)
影响全版本windows操作系统
 
0x02 检测及修复建议
CVE-2017-0708
安装官方补丁
微软官方已经发布更新补丁(包括Windows XP等停止维护的版本),请用户及时 进行补丁更新,获得并安装补丁的方式有三种:
推荐使用360一键检测修复工具(http://dl.360safe.com/leakfixer/360SysVulTerminator.exe)进行一键更新。
Microsoft Update服务:所有可以联网,且当前Windows系统是微软支持的版本,启用了自动更新的客户将会自动更新此补丁。
离线安装补丁,可以参考下方的“官方补丁下载链接”。
使用360一键检测修复工具:
下载并打开360一键检测修复工具(http://dl.360safe.com/leakfixer/360SysVulTerminator.exe)

点击“开始检测”进行漏洞检测:

点击“立即修复”完成漏洞修复,并根据提示重启计算机完成安全更新:

离线安装补丁的详细步骤:
在“官方补丁下载链接中”找到当前受漏洞影响版本的补丁,下载该补丁。
双击下载的补丁并安装:



输入下方的命令检测补丁是否安装成功:
 wmic qfe list|findstr "4499164 4499175 4499149 4499180 4500705"
如果补丁安装成功将返回安装补丁的信息:

重启计算机完成安全更新。
临时解决方案
若用户不需要用到远程桌面服务,建议禁用该服务:

开启系统防火墙或IP安全策略限制来源IP,即只允许指定IP访问。
启用网络级认证(NLA),此方案使适用于Windows 7, Windows Server 2008, and Windows Server 2008 R2:

CVE-2017-1181/1182
通过开启 Windows 自动更新
手动至#官方补丁下载链接处下载更新包
阻塞企业外围防火墙上的TCP端口3389
如果系统上不再需要这些服务,可以考虑禁用
通过安装360安全卫士(http://weishi.360.cn)进行一键更新
在受支持的Windows 7、Windows Server 2008和Windows Server 2008 R2版本的系统上启用网络身份验证(NLA),这使得攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证然后才能利用该漏洞。
 
0x03 官方补丁下载链接
CVE-2019-0708
操作系统版本
补丁下载链接
Windows 7 x86
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows 7 x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x86
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows Server 2008 x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu
Windows Server 2008 Itanium
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu
Windows Server 2008 x86
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu
Windows Server 2008 R2 Itanium
http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu
Windows Server 2008 R2 x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Server 2003 x86
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe
Windows Server 2003 x64
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe
Windows XP SP3
http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe
Windows XP SP2 for x64
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe

Windows XP SP3 for XPe
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe
WES09 and POSReady 2009
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe
如果从官方源下载补丁较慢的话,也可以从此链接下载补丁:https://yunpan.360.cn/surl_yLFKiSgzK2D (提取码:68c8)
CVE-2019-1181/1182
操作系统版本
补丁下载链接
Windows 10 x86/x64
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4512497
Windows 7 sp1 x86/x64
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4512486
Windows 8.1 x86/x64
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4512489
Windows Server 2008 R2
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4512486
Windows Server 2012
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4512482
Windows Server 2012 R2
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4512489
Windows Server 2016
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4512517
Windows Server 2019
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4511553
更多细节版本请访问 Microsoft security-guidance CVE-2019-1182 进行匹配下载。
 
0x04 漏洞利用验证
CVE-2019-0708

利用公开的 msf 攻击代码,设置目标地址。直接能取得目标机器的最高控制权限。
目前公开的利用代码可用于攻击 Windows 7 SP1 x64 与 Windows 2008 R2 x64,该EXP并不稳定,针对 Windows 7 SP1 x64攻击有可能导致蓝屏。并且Windows2008 R2 x64 需要修改[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\rdpwd\fDisableCam]值修改为0才能攻击成功。
CVE-2019-1181/1182
尚无稳定利用版本释出。360CERT时刻保持最新情况跟进。



少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者user少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者user少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:一种基于欺骗防御的入侵检测技术研究
下一篇:九年后“中国菜刀”依然锋利:China Chopper三起攻击案例分析
所有人都在等你长大 但没有人陪着你长大
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回