关于微软远程桌面服务远程代码执行漏洞（CVE-2019-0708）的预警

1.漏洞描述

5月14日，微软发布了针对远程桌面服务远程执行代码漏洞（CVE-2019-0708）的补丁，未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时触发该漏洞。此漏洞是预身份验证且无需用户交互，意味着此漏洞可以通过网络蠕虫的方式被利用。目前针对该漏洞的细节分析和利用代码暂未公开。

2.影响版本

l  Windows 7

l  Windows Server 2008 R2

l  Windows Server 2008

l  Windows 2003

l  Windows XP

3.不受影响版本

Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

4.修复建议

1) Windows 7、Windows Server 2008 R2和Windows Server 2008及时更新微软最新安全补丁即可。补丁下载链接：https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708

2) Windows 2003和Windows XP系统建议升级到最新版本的Windows系统，临时解决方案可更新对应系统版本的补丁。补丁下载链接：https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

3)  安装安全更新补丁后需要重启系统生效。

5.变通措施

1) 在运行受支持版本的 Windows 7、Windows Server 2008 和 Windows Server 2008 R2 的系统上启用网络级身份验证 (NLA)。

2) 如果不需要开启远程桌面进行系统管理，可考虑禁用这些服务。

3) 在网络边界防火墙处阻止3389端口可防止来自企业边界之外的攻击。但系统仍然可能受到来自其企业边界内的攻击。

4) 部署堡垒机系统，将远程桌面运维权限设置为只允许堡垒主机连接，可以有效降低此漏洞带来的影响。