客服热线:4006-283-286

—— 股票代码:300738

比永恒之蓝厉害至少十倍的漏洞了解一下,需抓紧修复
Source:等级保护测评公众号 | Author:不必再等 | Publish time: 2019-05-17 | 1702 Views | Share:
近日,朋友圈被各大安全厂商刷屏了,是关于Microsoft披露的RDP远程代码执行漏洞,此漏洞被各大安全厂商定为高危漏洞。

近日,朋友圈被各大安全厂商刷屏了,是关于Microsoft披露的RDP远程代码执行漏洞,此漏洞被各大安全厂商定为高危漏洞。

了解下该漏洞的危害:通过此漏洞,攻击者无需经过身份验证,只需要使用RDP连接到目标系统并发送特制请求,就可以在目标系统上远程执行代码,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户,可以做自己想做的任何事。

到目前为止,在全球范围内对互联网开发RDP的资产数量已经多达1250万,其中美国地区对外开发的RDP数量排名第一,为341万台。排名第二与第三的分别是中国和德国,其中中国数量远远超过德国的数量。

(数据仅为对互联网开放的资产,本数据来源于FOFA)

由以上数据看来,国内使用RDP的使用基数很高,用户相当广泛,在国内,RDP使用量前五名的省市是北京、浙江、广东、江苏以及上海,在北京的使用量最高,数量达864982台,在浙江省的使用量也达57万以上,广东省的使用量达27万,江苏省的使用量也达到20万,所以对此次RDP的漏洞防范尤为重要。



(数据仅为对互联网开放的资产,本数据来源于FOFA)

3389远程溢出漏洞,历史上有windows以来从没有出现过,其危害并非网上所说的等同于永恒之蓝,他比永恒之蓝厉害至少十倍起步。永恒之蓝只是针对445端口,这个端口对外网是不开放的,都是内网,影响范围相对较小。而3389是远程桌面端口,默认是开的,且很多对互联网开放,关于445的漏洞历史上出现多次,如ms08067冲击波震荡波等,但是只出现过一次3389的漏洞,ms12020可惜的是那个漏洞没法利用,所以历史上没有过对3389的远程利用,可想此次的这个漏洞有多稀缺与精贵。请广大网路运营者务必重视,及时采取相关必要措施进行修补,防止造成大范围的攻击与破坏。


受影响范围
:

·      Windows 7

·      Windows Server 2008 R2

·      Windows Server 2008

·      Windows Server 2003(已停止维护)

·      Windows XP(已停止维护)

 

解决方案:

目前,微软已经发布针对该漏洞的补丁,请使用上述受影响的操作系统用户及时更新。

针对Windows XPWindows 2003系统的补丁:

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708


针对Windows 7Windows Server 2008 R2Windows Server 2008系统的补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

 

缓解措施:

1 如暂时无法更新补丁,可以通过在系统上启用网络及身份认证(NLA)以暂时规避该漏洞影响,此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2

2 在企业外围防火墙阻断TCP端口3389的连接,或对相关服务器做访问来源过滤,只允许可信IP连接。

3、暂时性修改RDP的连接端口,默认端口为3389

4、若用户不需要用到远程桌面服务,建议禁用远程桌面服务。

(以上部分数据及信息来源于部分安全厂商,在此表示感谢,不一一列明。)

本文转自:等级保护测评公众号,

作者:不必再等