Windows RDP服務(wù)曝高危漏洞

文/鄭先偉

5月教育網(wǎng)運(yùn)行正常，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。5月13日《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（也就是俗稱的等保2.0標(biāo)準(zhǔn)）正式發(fā)布，將于2019年12月1日起正式實(shí)施。新標(biāo)準(zhǔn)的適用范圍更為廣泛，將基礎(chǔ)信息網(wǎng)絡(luò)（廣電網(wǎng)、電信網(wǎng)等）、信息系統(tǒng)（采用傳統(tǒng)技術(shù)的系統(tǒng)）、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等都納入到等級(jí)保護(hù)的范疇，并在原有通用安全要求的基礎(chǔ)上對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)提出了特殊安全擴(kuò)展要求。新標(biāo)準(zhǔn)的實(shí)施將對(duì)學(xué)校后序的定級(jí)評(píng)測(cè)工作提出更多要求，需要盡早針對(duì)新標(biāo)準(zhǔn)進(jìn)行相應(yīng)的準(zhǔn)備。

近期投訴事件數(shù)量有減少趨勢(shì)。

近期新增的病毒沒有特別需要關(guān)注的。因Windows系統(tǒng)的遠(yuǎn)程桌面服務(wù)出現(xiàn)可以被蠕蟲病毒利用的高危漏洞，應(yīng)警惕利用相關(guān)漏洞的勒索病毒出現(xiàn)和傳播，用戶需盡早排查自己的系統(tǒng)并盡快修補(bǔ)存在的漏洞。

近期新增嚴(yán)重漏洞評(píng)述：

1. 微軟5月的例行安全公告修復(fù)了其多款產(chǎn)品存在的249個(gè)漏洞，涉及的產(chǎn)品包括Windows系統(tǒng)、IE瀏覽器、EDGE瀏覽器、Office辦公軟件等。這里面Windows遠(yuǎn)程桌面協(xié)議漏洞（CVE-2019-0708）需要額外關(guān)注，這個(gè)漏洞出現(xiàn)在Windows遠(yuǎn)程桌面服務(wù)協(xié)議中，影響早期的Windows版本（包括Win7及Windows Server2008及它們之前的版本），如果這些版本的操作系統(tǒng)上開放了遠(yuǎn)程桌面服務(wù)（RDP服務(wù)），未經(jīng)身份驗(yàn)證的攻擊者可向目標(biāo)Windows主機(jī)發(fā)送惡意構(gòu)造請(qǐng)求，利用該漏洞在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。由于漏洞存在于RDP協(xié)議的預(yù)身份驗(yàn)證階段，因此利用過程無需進(jìn)行用戶交互操作，這導(dǎo)致該漏洞可能被利用來進(jìn)行蠕蟲病毒傳播。針對(duì)上述漏洞，微軟已經(jīng)發(fā)布了相應(yīng)的補(bǔ)丁程序，建議用戶及時(shí)安裝補(bǔ)丁程序。由于遠(yuǎn)程桌面漏洞的危害較大，微軟針對(duì)之前已經(jīng)停止支持的Winxp和Windows Server 2003也發(fā)布了額外的補(bǔ)丁程序，需要的用戶可到微軟官方的網(wǎng)站下載安裝。

2. Adobe發(fā)布了安全公告（apsb19-26）及補(bǔ)丁程序，用于修補(bǔ)Flash Player 32.0.0.171之前版本中存在的一個(gè)釋放后重用漏洞（CVE-2019-7837），允許攻擊者構(gòu)造惡意的Flash文件引誘用戶訪問，從而在用戶系統(tǒng)上執(zhí)行任意命令。用戶應(yīng)該盡快更新自己系統(tǒng)上的Flash Player軟件，通常Flash Player軟件會(huì)跟隨用戶使用的瀏覽器軟件一起更新。

2019年4～5月安全投訴事件統(tǒng)計(jì)

安全提示

本次出現(xiàn)的RDP服務(wù)高危漏洞，主要影響Win7及Windows Server 2008及其之前的系統(tǒng)。由于Winxp及Win7系統(tǒng)默認(rèn)并不開放RDP服務(wù)，因此漏洞主要影響的是那些使用了Windows Server 2008和Windows Server 2003的服務(wù)器系統(tǒng)。這類系統(tǒng)在學(xué)校的網(wǎng)絡(luò)中使用率還比較高，建議學(xué)校的管理員排查管轄范圍內(nèi)的相關(guān)服務(wù)，主要關(guān)注TCP 3389端口開放的情況，對(duì)于發(fā)現(xiàn)已經(jīng)開放了此服務(wù)的服務(wù)器一定要第一時(shí)間進(jìn)行補(bǔ)丁更新，如果暫時(shí)無法進(jìn)行更新，建議使用下列臨時(shí)辦法降低漏洞帶來的風(fēng)險(xiǎn)：

1.如果無需使用遠(yuǎn)程桌面服務(wù)（RDP服務(wù)），請(qǐng)關(guān)閉該服務(wù)。如果必須使用請(qǐng)使用防火墻限制服務(wù)的訪問來源到可信任的網(wǎng)絡(luò)。

2. 啟用網(wǎng)絡(luò)級(jí)別身份驗(yàn)證（NLA），以阻止未經(jīng)身份驗(yàn)證的攻擊者利用此漏洞。啟用NLA后，攻擊者首先需要使用目標(biāo)系統(tǒng)上的有效賬戶對(duì)遠(yuǎn)程桌面服務(wù)進(jìn)行身份驗(yàn)證，然后才能利用此漏洞。這可以緩解蠕蟲的攻擊風(fēng)險(xiǎn)。