漏洞簡介
Windows系列服務器於2019年5月15號,被爆出高危漏洞,該漏洞影響范圍較廣,windows2003、windows2008、windows2008 R2、windows xp系統都會遭到攻擊。
該服務器漏洞利用方式是通過遠程桌面端口3389,RDP協議進行攻擊的。當未經身份驗證的攻擊者使用 RDP 連接到目標系統並發送經特殊設計的請求時,遠程桌面服務(以前稱為“終端服務”)中存在遠程執行代碼漏洞。
此漏洞是預身份驗證,無需用戶交互。成功利用此漏洞的攻擊者可以在目標系統上執行任意代碼。攻擊者可隨后安裝程序;查看、更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。
此安全更新通過更正遠程桌面服務處理連接請求的方式來修復此漏洞。
緩解措施
1.禁用遠程桌面服務(如果不需要)。
如果系統不再需要這些服務,根據保障安全的最佳做法,可考慮禁用這些服務。禁用不使用和不需要的服務有助於減少出現安全漏洞的可能性。
2.在運行受支持版本的 Windows 7、Windows Server 2008 和 Windows Server 2008 R2 的系統上啟用網絡級身份驗證 (NLA)
你可以啟用網絡級身份驗證以阻止未經身份驗證的攻擊者利用此漏洞。啟用 NLA 后,攻擊者首先需要使用目標系統上的有效帳戶對遠程桌面服務進行身份驗證,然后才能利用此漏洞。
3.在企業邊界防火牆處阻止 TCP 端口 3389
TCP 端口 3389 用於啟動與受影響組件的連接。在網絡邊界防火牆處阻止此端口將有助於防止位於防火牆后面的系統嘗試利用此漏洞。這有助於防止網絡遭受來自企業邊界之外的攻擊。在企業邊界阻止受影響的端口是幫助避免基於 Internet 的攻擊的最佳防御措施。然而,系統仍然可能容易受到來自其企業邊界內的攻擊。
補丁下載地址
Windows Server 2008 系統下載地址
64位 Windows Server 2008 R2 僅安全性質量更新(KB4499175)
32位 Windows Server 2008 僅安全性質量更新(KB4499180)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-x86_058da885ced3478b996f12d1fc40640c3796bdf3.msu
64位 Windows Server 2008 僅安全性質量更新(KB4499180)
Windows 7 系統下載地址
32位 Windows 7 僅安全性質量更新(KB4499175)
64位 Windows 7 僅安全性質量更新(KB4499175)
Windows Server 2003 系統下載地址
64位 Windows Server 2003 安全更新程序 (KB4500331)
參考鏈接
https://msrc.microsoft.com/update-guide/zh-CN/vulnerability/CVE-2019-0708
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708