【威胁通告】微软远程桌面服务远程代码执行漏洞(CVE-2019-0708) 再次威胁预警通告
2019-09-09
综述
微软在5月月度更新中曾修复一个存在于远程桌面服务中的高危远程代码执行漏洞(CVE-2019-0708),该漏洞可以被蠕虫类攻击利用。鉴于此漏洞的威胁程度较高,微软当时针对已经停止维护的Windows版本也发布了安全补丁。
js1996官网登录已于5月15号发布安全威胁通告,5月 31号发布针对此漏洞的检测和防护方法,详见参考连接[2]或见下文“漏洞排查”及“漏洞防护”。
在对该漏洞的持续关注中发现,当地时间9月6日, me
但是有现成的利用工具出现后,还是降低了攻击者实施攻击的门槛,因此再次提醒未进行补丁安装的用户尽快安装升级进行防护。
参考链接:
[1]http://blog.nsfocus.net/cve-2019-0708/
[2]http://blog.nsfocus.net/nips-cve-2019-0708/
[3]https://www.zdnet.com/article/me
受影响版本
l Windows 7
l Windows Server 2008 R2
l Windows Server 2008
l Windows Server 2003(已停止维护)
l Windows XP(已停止维护)
不受影响版本
l Windows 8
l Windows 10
漏洞排查
1、 金沙js1996云检测
金沙js1996云提供在线的检测入口,企业用户可进入页面检测自有资产是否受此漏洞影响。
手机端访问地址:
https://cloud.nsfocus.com/megi/holes/hole_WindowsRDP_2019_5_15.html
PC端访问地址:
https://cloud.nsfocus.com/#/secwarning/secwarning_news
1、 产品检测
关于RSAS的配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
漏洞防护
针对此漏洞,js1996官网登录防护产品已发布规则升级包,可形成针对此漏洞的防护能力。强烈建议相关用户升级至最新规则。安全防护产品规则版本号如下:
安全防护产品 |
规则版本号 |
升级包下载链接 |
规则编号 |
IPS |
5.6.10.20340 |
【24489】 |
|
5.6.9.20340 |
|||
5.6.8.778 |
|||
NF |
6.0.1.778 |
产品规则升级的操作步骤详见如下链接:
IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww
NF:https://mp.weixin.qq.com/s/bggqcm9VqHiPnfV1XoNuDQ
2、 官方补丁
微软官方已经发布更新补丁(包括官方停止维护版本),请用户及时进行补丁更新。获得并安装补丁的方式有三种:内网WSUS服务、微软官网Microsoft Update服务、离线安装补丁。
注:如果需要立即启动Windows Update更新,可以在命令提示符下键入wuauclt.exe /detectnow。
方式一:内网WSUS服务
适用对象:已加入搭建有WSUS服务器内网活动目录域的计算机,或手工设置了访问内网WSUS服务。
系统会定时自动下载所需的安全补丁并提示安装,请按提示进行安装和重启系统。
如果希望尽快安装补丁,请重新启动一次计算机即可。
方式二: 微软官网Microsoft Update服务
适用对象:所有可以联网,不能使用内网WSUS服务的计算机,包括未启用内网WSUS服务的计算机、启用了内网WSUS服务但未与内网连接的计算机。
未启用内网WSUS服务的计算机,请确保Windows自动更新启用,按照提示安装补丁并重启计算机。
启用内网WSUS服务的计算机但没有与内网连接的计算机,请点击开始菜单-所有程序-Windows Update,点击“在线检查来自Windows Update的更新”,按提示进行操作。
方式三: 离线安装补丁
下载对应的补丁安装包,双击运行即可进行修复,下载链接可参考本文“附录A 官方补丁下载链接”。
临时解决建议
若用户暂不方便安装补丁更新,可采取下列临时防护措施,对此漏洞进行防护。
1、 若用户不需要用到远程桌面服务,建议禁用该服务。
2、 在防火墙中对TCP 3389端口进行阻断。
3、 启用网络级认证(NLA),此方案适用于Windows 7 Windows Server 2008 and Windows Server 2008 R2。
附录 官方补丁下载链接
操作系统版本 |
补丁下载链接 |
Windows 7 x86 |
|
Windows 7 x64 |
|
Windows Embedded Standard 7 for x64 |
|
Windows Embedded Standard 7 for x86 |
|
Windows Server 2008 x64 |
|
Windows Server 2008 Itanium |
|
Windows Server 2008 x86 |
|
Windows Server 2008 R2 Itanium |
|
Windows Server 2008 R2 x64 |
|
Windows Server 2003 x86 |
|
Windows Server 2003 x64 |
|
Windows XP SP3 |
|
Windows XP SP2 for x64 |
|
Windows XP SP3 for XPe |
|
|
声 明
本安全公告仅用来描述可能存在的安全问题,js1996官网登录不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,js1996官网登录以及安全公告作者不为此承担任何责任。js1996官网登录拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经js1996官网登录允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于js1996官网登录
北京神州金沙js1996信息安全科技股份有限公司(简称js1996官网登录)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,js1996官网登录在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州金沙js1996信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:js1996官网登录,股票代码:300369。