預警|Windows再現“永恒之藍”級漏洞 國內超150萬主機受影響

微信圖片_20190515181348.jpg

漏洞描述

Windows 遠程桌面服務(RDP)主要用于管理人員對 Windows 服務器進行遠程管理,使用量極大。

 

近日,微軟官方披露Windows中的遠程桌面服務中存在遠程代碼執行漏洞,未經身份認證的攻擊者可使用RDP協議連接到目標系統并發送精心構造的請求可觸發該漏洞。

 

成功利用此漏洞的攻擊者可在目標系統上執行任意代碼,可安裝應用程序,查看、更改或刪除數據,創建完全訪問權限的新賬戶等。

風險等級

奇安信安全監測與響應中心風險評級為:高危

預警等級:藍色預警(一般事件)

影響范圍

 

  • Windows 7 for 32-bit Systems Service Pack 1

  • Windows 7 for x64-based Systems Service Pack1

  • Windows Server 2008 for 32-bit SystemsService Pack 2

  • Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)

  • Windows Server 2008 for Itanium-Based SystemsService Pack 2

  • Windows Server 2008 for x64-based SystemsService Pack 2

  • Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)

  • Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1

  • Windows Server 2008 R2 for x64-based SystemsService Pack 1

  • Windows Server 2008 R2 for x64-based SystemsService Pack 1 (Server Core installation)

  • Windows XP SP3 x86

  • Windows XP Professional x64 Edition SP2

  • Windows XP Embedded SP3 x86

  • Windows Server 2003 SP2 x86

  • Windows Server 2003 x64 Edition SP2

處置建議

官方補丁

 

微軟官方已經推出安全更新請參考以下官方安全通告下載并安裝最新補?。?/span>

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

 

或根據以下表格查找對應的系統版本下載最新補?。?/span>

操作系統版本

補丁下載鏈接

Windows 7 x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

Windows 7 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Embedded Standard 7 for x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Embedded Standard 7 for x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

Windows Server 2008 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu

Windows Server 2008 Itanium

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu

Windows Server 2008 x86

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu

Windows Server 2008 R2 Itanium

http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu

Windows Server 2008 R2 x64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

Windows Server 2003 x86

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe

Windows Server 2003 x64

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe

Windows XP SP3

http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe

Windows XP SP2 for x64

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe

Windows XP SP3 for XPe

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe

 

緩解方法


1. 在企業邊界防火墻處阻止 TCP 端口 3389

2. 使用天擎策略禁止遠程桌面到終端。

a) 登錄天擎控制臺,進入策略中心——管控策略,創建新模板(或修改原有模板)

b) 啟用“桌面加固”,將“計算機遠程桌面到本機 ”設置為“禁用”。

微信圖片_20190515181435.jpgc) 分發該策略到全網計算機。

 

修復方法

 

1. 更新奇安信集團2019.05.15.1版本及之后的補丁庫。

2. 在策略中心修改策略為“安裝補丁后自動重啟”,系統補丁安裝后必須要重啟,否則并沒有修復漏洞,仍然會被利用攻擊。(6.6版本支持,其他版本的用戶在單點維護中單點的下發重啟任務,或者通過別的方法要求終端用戶配合重啟)

3. 在天擎控制臺——終端管理——漏洞管理——按終端顯示,下發全網掃描任務,讓所有的終端掃描補丁情況。微信圖片_20190515181440.jpg4. 在天擎控制臺——終端管理——漏洞管理——按漏洞顯示,找到需要緊急的漏洞對應的補丁,手動按分組分多個批次下發修復任務。微信圖片_20190515181444.jpg

參考資料

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

 

上一篇:新國標正式發布 網絡安全等級保護制度邁入2.0時代
下一篇:國網27省級電力公司泛在電力物聯網建設最新情況

河南網盾網絡信息技術有限公司 版權所有

公司地址:鄭州市中原萬達西區6號樓22層

咨詢電話:0371-53372670

電子郵件:3101329094@qq.com

豫ICP備18006711號-1