1.安全公告

2019年5月14日，微软发布了5月安全更新补丁，其中包含一个RDP（远程桌面服务）远程代码执行漏洞的补丁更新，对应CVE编号：CVE-2019-0708，相关信息链接：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708

根据公告，该漏洞存在于Windows比较老的版本中，主要包括：Windows  7、Windows Server 2008和更老的Windows XP、Windows Server  2003系统，如果这些系统开启远程桌面服务，默认监听端口TCP 3389，未安全更新容易受到攻击。

根据微软MSRC公告，该漏洞如被恶意利用可能被开发成类似2017年爆发的WannaCry蠕虫型快速自动快速传播病毒，建议及时安装更新补丁，相关信息连接：

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

2.更新说明

安恒应急响应中心在5月份就发布了相关预警，此后网上公开了一些针对该漏洞的识别扫描代码和能导致拒绝服务的POC代码，具有稳定利用的代码仅在小范围传播，未见公开，最近有人在github上的metasploit-framework漏洞利用框架工具平台，提交了针对64位Windows  7和Windows Server 2008 R2（只有64位）版本利用的EXP代码，利用代码目标指纹包括以下：

对于Windows  Server 2008 R2，需要修改注册表项以通过RDPSND通道启用heap grooming进行堆利用，虽然目前版本只有Windows  7和2008 R2，但作者在Todo中已经计划开发针对XP和2003等更多操作系统版本的利用代码，建议及时安装更新补丁。

除了：

Windows 7 x64 (所有SP版本)

Windows 2008 R2 x64 (所有SP版本)

未来这些版本都可能被开发出利用代码：

Windows 2000 x86 (所有SP版本)

Windows XP x86 (所有SP版本)

Windows 2003 x86 (所有SP版本)

Windows 7 x86 (所有SP版本)

利用代码支持的目标：

https://github.com/rapid7/metasploit-framework/pull/12283/files

3. 影响版本

RDP漏洞（CVE-2019-0708）影响Windows  Server 2008 R2以前版本，Windows XP、Windows Server  2003微软本来已不再公开提供安全更新补丁，但基于漏洞的严重性，微软此次例外提供了XP和2003的补丁更新，受影响的系统列表如下：

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP Professional x64 Edition SP2

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 x64 Edition SP2

Windows 7、Windows Server 2008补丁下载：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708

Windows XP、Windows Server 2003补丁下载：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

运行Windows  8和Windows  10的用户不受此漏洞的影响。对于启用了网络级身份验证（NLA）的受影响系统可以部分缓解。由于NLA在触发漏洞之前需要身份验证，因此受影响的系统可以抵御可能利用该漏洞的“易受攻击”恶意软件或高级恶意软件威胁。但是，如果攻击者具有可用于成功进行身份验证的有效凭据，则受影响的系统仍然容易受到远程代码执行（RCE）攻击。出于这些原因，微软强烈建议尽快更新所有受影响的系统，无论NLA是否启用。

4. 影响范围

通过安恒研究院SUMAP平台对全球开启了远程桌面协议(RDP)的TCP 3389端口的资产统计，最新查询分布情况如下：

通过安恒研究院SUMAP平台对国内开启了远程桌面协议(RDP)的TCP 3389端口的资产统计，最新查询分布情况如下：

5.缓解措施

紧急：目前针对该漏洞的细节分析和利用代码都已公开，建议还未跟新补丁和采取加固措施的主机尽快进行安全更新或做好安全加固配置。

针对RDP的安全运营建议：

如果需要开启远程桌面进行系统管理，建议开启系统防火墙或IP安全策略限制来源IP，即只允许指定IP访问；

启用本地安全策略（账户策略-密码策略），建议开启密码必须符合复杂性要求和长度最小值，以及启用账户锁定阀值；

考虑使用双因素身份验证措施，比如启用动态Key方式；

保持系统安全更新补丁为最新状态，远程桌面协议(RDP)为内核服务，安装安全更新补丁后需要重启系统生效；

开启系统日志记录或网络安全设备日志记录对访问该端口的源IP进行记录和存档，以便预警和分析其入侵企图；

考虑在核心交换机部署流量分析设备，发现对RDP端口暴力破解密码的攻击行为，及时对攻击IP做限定访问的策略。

威胁推演：此漏洞为远程代码执行漏洞，基于全球使用该产品用户的数量和暴露在网上的端口情况，恶意攻击者可能会开发针对该漏洞的自动化攻击程序，实现漏洞利用成功后自动植入后门程序，并进一步释放矿工程序或是DDOS僵尸木马等恶意程序达到蠕虫传播，从而影响到系统服务的正常提供。

微软补丁更新建议：微软每月第二周周二会定期发布安全更新补丁，建议企业订阅和关注官方安全更新公告，及时测试补丁或做更新。