今天朋友圈被各大安全廠商刷屏了����,是關(guān)于Microsoft披露的RDP遠(yuǎn)程代碼執(zhí)行漏洞,此漏洞被各大安全廠商定為高危漏洞����。
了解下該漏洞的危害:通過此漏洞,攻擊者無需經(jīng)過身份驗(yàn)證���,只需要使用RDP連接到目標(biāo)系統(tǒng)并發(fā)送特制請求�����,就可以在目標(biāo)系統(tǒng)上遠(yuǎn)程執(zhí)行代碼��,成功利用此漏洞的攻擊者可以安裝應(yīng)用程序����,查看����、更改或刪除數(shù)據(jù)或創(chuàng)建具有完全用戶權(quán)限的新賬戶,可以做自己想做的任何事�����。
到目前為止,在全球范圍內(nèi)對互聯(lián)網(wǎng)開發(fā)RDP的資產(chǎn)數(shù)量已經(jīng)多達(dá)1250萬���,其中美國地區(qū)對外開發(fā)的RDP數(shù)量排名第一��,為341萬臺(tái)��。排名第二與第三的分別是中國和德國�����,其中中國數(shù)量遠(yuǎn)遠(yuǎn)超過德國的數(shù)量���。
(統(tǒng)計(jì)數(shù)據(jù)僅為對互聯(lián)網(wǎng)開放的資產(chǎn)����,本數(shù)據(jù)來源于FOFA。)
由以上數(shù)據(jù)統(tǒng)計(jì)看來��,國內(nèi)使用RDP的使用基數(shù)很高�,用戶相當(dāng)廣泛,在國內(nèi)���,RDP使用量前五名的省市是北京����、浙江、廣東����、江蘇以及上海,在北京的使用量最高����,數(shù)量達(dá)864982臺(tái),在浙江省的使用量也達(dá)57萬以上�,廣東省的使用量達(dá)27萬,江蘇省的使用量也達(dá)到20萬�,所以對此次RDP的漏洞防范尤為重要。
(統(tǒng)計(jì)數(shù)據(jù)僅為對互聯(lián)網(wǎng)開放的資產(chǎn)�����,本數(shù)據(jù)來源于FOFA���。)
3389遠(yuǎn)程溢出漏洞�����,歷史上有windows以來從沒有出現(xiàn)過��,其危害并非網(wǎng)上所說的等同于永恒之藍(lán)��,他比永恒之藍(lán)厲害至少十倍起步�。永恒之藍(lán)只是針對445端口,這個(gè)端口對外網(wǎng)是不開放的����,都是內(nèi)網(wǎng),影響范圍相對較小���。而3389是遠(yuǎn)程桌面端口�,默認(rèn)是開的��,且很多對互聯(lián)網(wǎng)開放���,關(guān)于445的漏洞歷史上出現(xiàn)多次,如ms08067沖擊波震蕩波等�����,但是只出現(xiàn)過一次3389的漏洞��,ms12020可惜的是那個(gè)漏洞沒法利用����,所以歷史上沒有過對3389的遠(yuǎn)程利用�,可想此次的這個(gè)漏洞有多稀缺與精貴�����。請廣大網(wǎng)路運(yùn)營者務(wù)必重視���,及時(shí)采取相關(guān)必要措施進(jìn)行修補(bǔ)��,防止造成大范圍的攻擊與破壞�。
受影響范圍:
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003(已停止維護(hù))
Windows XP(已停止維護(hù))
解決方案:
目前�,微軟已經(jīng)發(fā)布針對該漏洞的補(bǔ)丁,請使用上述受影響的操作系統(tǒng)用戶及時(shí)更新��。
針對Windows XP�、Windows 2003系統(tǒng)的補(bǔ)丁:
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
針對Windows 7�����、Windows Server 2008 R2�、Windows Server 2008系統(tǒng)的補(bǔ)丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
緩解措施:
1�����、 如暫時(shí)無法更新補(bǔ)丁,可以通過在系統(tǒng)上啟用網(wǎng)絡(luò)及身份認(rèn)證(NLA)以暫時(shí)規(guī)避該漏洞影響�,此方案適用于Windows 7, Windows Server 2008, Windows Server 2008 R2。
2�����、 在企業(yè)外圍防火墻阻斷TCP端口3389的連接����,或?qū)ο嚓P(guān)服務(wù)器做訪問來源過濾,只允許可信IP連接����。
3、暫時(shí)性修改RDP的連接端口�����,默認(rèn)端口為3389���。
4、若用戶不需要用到遠(yuǎn)程桌面服務(wù)����,建議禁用遠(yuǎn)程桌面服務(wù)����。
(以上部分?jǐn)?shù)據(jù)及信息來源于部分安全廠商����,在此表示感謝,不一一列明��。)(來自:等級保護(hù)測評)
在線咨詢
在線咨詢
0371-63319761