漏洞简介
Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击。
该服务器漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。当未经身份验证的攻击者使用 RDP 连接到目标系统并发送经特殊设计的请求时,远程桌面服务(以前称为“终端服务”)中存在远程执行代码漏洞。
此漏洞是预身份验证,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
此安全更新通过更正远程桌面服务处理连接请求的方式来修复此漏洞。
缓解措施
1.禁用远程桌面服务(如果不需要)。
如果系统不再需要这些服务,根据保障安全的最佳做法,可考虑禁用这些服务。禁用不使用和不需要的服务有助于减少出现安全漏洞的可能性。
2.在运行受支持版本的 Windows 7、Windows Server 2008 和 Windows Server 2008 R2 的系统上启用网络级身份验证 (NLA)
你可以启用网络级身份验证以阻止未经身份验证的攻击者利用此漏洞。启用 NLA 后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。
3.在企业边界防火墙处阻止 TCP 端口 3389
TCP 端口 3389 用于启动与受影响组件的连接。在网络边界防火墙处阻止此端口将有助于防止位于防火墙后面的系统尝试利用此漏洞。这有助于防止网络遭受来自企业边界之外的攻击。在企业边界阻止受影响的端口是帮助避免基于 Internet 的攻击的最佳防御措施。然而,系统仍然可能容易受到来自其企业边界内的攻击。
补丁下载地址
Windows Server 2008 系统下载地址
64位 Windows Server 2008 R2 仅安全性质量更新(KB4499175)
32位 Windows Server 2008 仅安全性质量更新(KB4499180)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-x86_058da885ced3478b996f12d1fc40640c3796bdf3.msu
64位 Windows Server 2008 仅安全性质量更新(KB4499180)
Windows 7 系统下载地址
32位 Windows 7 仅安全性质量更新(KB4499175)
64位 Windows 7 仅安全性质量更新(KB4499175)
Windows Server 2003 系统下载地址
64位 Windows Server 2003 安全更新程序 (KB4500331)
参考链接
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2019-0708
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708