CVE-2019-1181/CVE-2019-1182:Windows RDP服务蠕虫级漏洞预警
2019-08-14 09:57

报告编号:B6-2019-081401

报告来源:360-CERT

报告作者:360-CERT

更新日期:2019-08-14

0x00 事件背景

2019年8月14日微软官方发布安全补丁,修复了两个Windows远程桌面服务的远程代码执行漏洞CVE-2019-1181/CVE-2019-1182,这两个漏洞影响了几乎所有目前受支持的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,与2019年5月14日修补的远程桌面服务的远程代码执行漏洞CVE-2019-0708和2017年WannaCry恶意软件的传播方式类似。

经研判,360-CERT确认漏洞严重,建议用户立即进行补丁更新处理。

0x01 影响范围

  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1703 for 32-bit Systems
  • Windows 10 Version 1703 for x64-based Systems
  • Windows 10 Version 1709 for 32-bit Systems
  • Windows 10 Version 1709 for 64-based Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1803 (Server Core Installation)
  • Windows Server, version 1903 (Server Core installation)

注意:对于使用Windows 7 Service Pack 1或者Windows Server 2008 R2 Service Pack 1的用户,只有安装了RDP 8.0或RDP 8.1,这些操作系统才会受到此漏洞的影响。

0x02 修复建议

  • 阻塞企业外围防火墙上的TCP端口3389
  • 如果系统上不再需要这些服务,可以考虑禁用
  • 通过安装360安全卫士(http://weishi.360.cn)进行一键更新
  • 在受支持的Windows 7、Windows Server 2008和Windows Server 2008 R2版本的系统上启用网络身份验证(NLA),这使得攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证然后才能利用该漏洞

0x03 时间线

2019-08-14 微软官方发布安全公告

2019-08-14 360CERT发布预警

0x04 参考链接

1.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181 2.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182