国家工业信息安全发展研究中心：Windows存在远程代码执行漏洞风险预警

一、事件基本情况

2019年5月14日，微软官方发布安全公告称，Windows Remote DesktopService（远程桌面服务）中存在远程代码执行漏洞（CVE-2019-0708），攻击者可利用该漏洞开发出类似于Wannacry（魔窟）的恶意软件，实现全球范围内快速传播。

二、影响版本

漏洞影响的产品版本包括：

Windows 7 for 32-bitSystems Service Pack 1

Windows 7 for x64-basedSystems Service Pack 1

Windows Server 2008 for32-bit Systems Service Pack 2

Windows Server 2008 for32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 forItanium-Based Systems Service Pack 2

Windows Server 2008 forx64-based Systems Service Pack 2

Windows Server 2008 forx64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 forItanium-Based Systems Service Pack 1

Windows Server 2008 R2 forx64-based Systems Service Pack 1

Windows Server 2008 R2 forx64-based Systems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP Professionalx64 Edition SP2

Windows XP Embedded SP3x86

Windows Server 2003 SP2x86

Windows Server 2003 x64Edition SP2

三、漏洞分析

Remote Desktop Service中存在的远程代码执行漏洞为预身份验证，攻击者可以利用该漏洞向目标系统发送特定请求，在无用户交互的情况下远程执行任意代码，安装程序，查看、更改或删除数据等，甚至创建具有管理员权限的账户。

目前，微软已对此漏洞发布安全更新。

四、对策建议

建议相关工业企业认真按照《工业控制系统信息安全防护指南》要求，做好补丁安装等防范工作。

一是及时下载并安装漏洞补丁，Windows 7，Windows Server 2008 R2，Windows Server 2008用户下载地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708；

WindowsXP和Windows Server 2003用户下载地址：

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708。

二是对于无法短期内安装补丁的系统，可采取减缓威胁的临时措施，如禁用远程桌面服务（RDP）、开启网络身份认证（NLA）、阻断TCP 3389高危端口等。

投稿部门：应急响应所

文章作者：高羽茜

声明：本文来自国家工业信息安全发展研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。