漏洞描述

Microsoft Windows是美国微软公司发布的视窗操作系统。远程桌面连接是微软从Windows 2000 Server开始提供的功能组件。

2019年5月14日，微软发布了月度安全更新补丁，修复了远程桌面协议（RDP）远程代码执行漏洞。

根据验证结果显示，该漏洞利用仅对Windows 7 SP1 x64与Windows 2008 R2 x64（非系统默认配置）系统版本有效，在虚拟机环境下复现成功。

目前，由于EXP的公开发布，恶意攻击者还很有可能利用该漏洞编写定制的恶意软件， 利用此漏洞的恶意软件传播影响引发类似2017年WannaCry恶意软件遍布全球的事件，广大用户需要更加警惕利用该漏洞的恶意软件的出现，提前做好预防措施。

漏洞编号

CVE-2019-0708

漏洞危害

未经身份验证的攻击者利用该漏洞，向目标 Windows主机发送恶意构造请求，可以在目标系统上执行任意代码。由于该漏洞存在于RDP协议的预身份验证阶段，因此漏洞利用无需进行用户交互操作， 存在被不法分子利用进行蠕虫攻击的可能。

漏洞等级

高危
受影响版本

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems ServicePack 1

Windows Server 2008 for 32-bit SystemsService Pack 2

Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-BasedSystems Service Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1

Windows Server 2008 R2 for x64-basedSystems Service Pack 1

Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP SP2 x64

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 SP2 x64

修复方案

1、禁用远程桌面服务。

2、通过主机防火墙对远程桌面服务端口进行阻断（默认为TCP 3389）。

3、启用网络级认证（NLA），此方案适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。启用NLA后，攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证，然后才能利用此漏洞。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708