Windows 遠程桌面服務存在高危漏洞

文/鄭先偉

（作者單位為中國教育和科研計算機網應急響應組）

2019 年7～8 月安全投訴事件統計

8 月教育網運行正常，未發現影響嚴重的安全事件。近期教育網范圍內相應的安全投訴事件數量繼續呈下降趨勢，這主要得益于各學校對安全工作的高度重視。

近期沒有新增特別需要關注的病毒和木馬程序。針對5 月爆出的Pulse Secure VPN 的任意文件讀取漏洞（CVE-2019-11539）的掃描攻擊數量有增加趨勢，攻擊者可以利用該漏洞訪問系統的私鑰和用戶口令，這些非法獲取的信息可以進一步導致任意代碼注入攻擊。Pulse Secure VPN在高校的用戶數量較多，建議使用了該VPN 的學校管理員盡快檢查是否已經更新到了最新版本，避免漏洞被非法利用。

近期新增嚴重漏洞評述：

1.微軟8 月的例行安全公告修復了其多款產品存在的396 個安全漏洞，漏洞涉及Windows 系統 、Windows DHCP 服務、Office 軟件、Windows 圖形組件、Jet 數據庫等Windows 平臺下的應用軟件和組件。公告中需要特別關注的是Windows 遠程桌面服務中存在的四個高危漏洞（CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226）。未經身份驗證的攻擊者利用上述漏洞，向目標Windows 主機發送惡意構造請求，可以在目標系統上執行任意代碼。由于這些漏洞存在于RDP 協議的預身份驗證階段，其利用過程無需進行用戶交互操作，可被利用來進行大規模的蠕蟲攻擊。目前漏洞的細節還未公布，相應的利用代碼也還未出現，不過隨著補丁的發布（通過對補丁的反編譯可知道漏洞細節），漏洞的攻擊代碼很快就會出現。類似的遠程桌面漏洞（CVE-2019-0708）在5 月的補丁中也出現過，目前該漏洞相關的攻擊代碼已經在網絡上出現了多個版本。基于上述漏洞的風險，建議用戶盡快使用Windows 系統的自動更新功能進行安全更新。

2.Fortinet FortiOS 是 美 國 飛 塔（Fortinet）公司的一套專用于FortiGate網絡安全平臺上的安全操作系統。最近Fortinet 公司發布了FortiOS 的版本更新，用于修補之前版本中存在的多個安全漏洞，包括：跨站腳本漏洞（CVE-2018-13380），路徑遍歷漏洞（CVE-2018-13379）等，利用這些漏洞攻擊者可在未經授權的情況下獲取相關設備的賬號信息、進行修改賬號密碼等操作，進而完全控制相關設備。這些漏洞影響FortiOS 多個版本（包括5.6.3 版本至5.6.7 版本、6.0.0 版本至6.0.4版本等）。FortiGate 安全設備在高校中的使用范圍較廣，建議使用了相關設備的管理員盡快聯系廠商的工程師對設備的操作系統進行升級，防止漏洞被非法利用。

3.Adobe 公 司8 月發布了Adobee Acrobat/Reader 軟件的版本更新，用于修補之前版本中的多個安全漏洞。這些漏洞可能導致任意代碼執行或是敏感信息泄漏。由于PDF 軟件的漏洞是APT 攻擊最常使用的漏洞，建議用戶盡快升級到最新版本，并謹慎打開那些來歷不明的PDF 文檔。

4.Cisco Small Business 220 系列智能交換機的Web 管理界面存在三個高危漏洞，分別是身份驗證繞過漏洞(CVE-2019-1912，評級為致命，評分為9.1)、遠程命令執行漏洞(CVE-2019-1913，評級為致命，評分為9.8)和命令注入漏洞(CVE-2019-1914，評級為中等，評分為7.2)。身份繞過漏洞允許攻擊者繞過驗證將文件上傳到系統中，攻擊者可以借此替換配置文件或者上傳Webshell 進而控制交換機。而遠程命令執行漏洞則允許攻擊者直接以root 身份在系統中執行任意命令。目前思科公司已經在最新的固件版本中修復了這些漏洞，使用相關交換機的用戶應該盡快進行固件更新。如果暫時無法更新固件，可通過關閉交換機的Web 管理服務來降低漏洞帶來的風險。

安全提示

由于近期Windows 遠程桌面服務的漏洞頻出，建議學校的網絡管理員做如下操作：

1. 在網絡邊界對Windows 遠程桌面的服務端口 TCP 3389 進行阻斷。

2. 要求Windows 服務器的管理員及時安裝系統補丁程序。

3. 如果條件允許，使用其他遠程服務替代Windows 自帶的RDP 服務，比如VNC。

4. 對于必須開放的Windows 遠程桌面服務，建議修改默認服務端口，并使用防火墻限制訪問服務的來源IP。