預警!繼BlueKeep之後 Windows遠程桌面再曝重大漏洞

發布時間 2019-08-15

2019年8月13日,微軟發布月度更新補丁修複了四個新的RDP遠程代碼執行漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226)。這四個漏洞均可使攻擊者在未經身份驗證的情況下,發送特定請求到目標主機,進而實現遠程代碼執行。

這四個漏洞中,至少有兩個漏洞(CVE-2019-1181和CVE-2019-1182)與之前的“BlueKeep”(CVE-2019-0708)相似,可以實現蠕蟲化攻擊。微軟強烈建議受影響的系統盡快修複漏洞。

目前尚無證據表明相關漏洞有被野外利用的迹象,但隨著攻擊者對漏洞補丁的深入研究,極有可能構造出能夠利用漏洞的POC甚至EXP代碼。

• 影響範圍

CVE-2019-1181、CVE-2019-1182


Windows 7 SP1
Windows Server 2008 R2 SP1
Windows Server 2012
Windows 8.1
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
所有Windows 10包括服務器版本

CVE-2019-1222、CVE-2019-1226


Windows 10 和 Windows Server版本

• 解決方案

1、目前微軟已經發布針對上述漏洞的更新補丁,建議盡快進行相關升級。補丁鏈接如下:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

2、針對CVE-2019-1181、CVE-2019-1182漏洞,可通過啓用網絡級別身份驗證來阻止未經身份驗證的攻擊者利用此漏洞。啓用NLA後,攻擊者首先需要使用目標系統上的有效帳戶對遠程桌面服務進行身份驗證,才能成功利用此漏洞。

3、對于無特殊需求的用戶,請盡量關閉遠程桌面服務,避免主機被直接暴露在互聯網上。

啓明星辰將密切關注漏洞相關事態發展,隨時更新解決方案。