Windows RDP服务曝高危漏洞

文/郑先伟

5月教育网运行正常，未发现影响严重的安全事件。5月13日《信息安全技术网络安全等级保护基本要求》（也就是俗称的等保2.0标准）正式发布，将于2019年12月1日起正式实施。新标准的适用范围更为广泛，将基础信息网络（广电网、电信网等）、信息系统（采用传统技术的系统）、云计算平台、大数据平台、移动互联、物联网和工业控制系统等都纳入到等级保护的范畴，并在原有通用安全要求的基础上对云计算、移动互联、物联网和工业控制系统提出了特殊安全扩展要求。新标准的实施将对学校后序的定级评测工作提出更多要求，需要尽早针对新标准进行相应的准备。

近期投诉事件数量有减少趋势。

近期新增的病毒没有特别需要关注的。因Windows系统的远程桌面服务出现可以被蠕虫病毒利用的高危漏洞，应警惕利用相关漏洞的勒索病毒出现和传播，用户需尽早排查自己的系统并尽快修补存在的漏洞。

近期新增严重漏洞评述：

1. 微软5月的例行安全公告修复了其多款产品存在的249个漏洞，涉及的产品包括Windows系统、IE浏览器、EDGE浏览器、Office办公软件等。这里面Windows远程桌面协议漏洞（CVE-2019-0708）需要额外关注，这个漏洞出现在Windows远程桌面服务协议中，影响早期的Windows版本（包括Win7及Windows Server2008及它们之前的版本），如果这些版本的操作系统上开放了远程桌面服务（RDP服务），未经身份验证的攻击者可向目标Windows主机发送恶意构造请求，利用该漏洞在目标系统上执行任意代码。由于漏洞存在于RDP协议的预身份验证阶段，因此利用过程无需进行用户交互操作，这导致该漏洞可能被利用来进行蠕虫病毒传播。针对上述漏洞，微软已经发布了相应的补丁程序，建议用户及时安装补丁程序。由于远程桌面漏洞的危害较大，微软针对之前已经停止支持的Winxp和Windows Server 2003也发布了额外的补丁程序，需要的用户可到微软官方的网站下载安装。

2. Adobe发布了安全公告（apsb19-26）及补丁程序，用于修补Flash Player 32.0.0.171之前版本中存在的一个释放后重用漏洞（CVE-2019-7837），允许攻击者构造恶意的Flash文件引诱用户访问，从而在用户系统上执行任意命令。用户应该尽快更新自己系统上的Flash Player软件，通常Flash Player软件会跟随用户使用的浏览器软件一起更新。

2019年4～5月安全投诉事件统计

安全提示

本次出现的RDP服务高危漏洞，主要影响Win7及Windows Server 2008及其之前的系统。由于Winxp及Win7系统默认并不开放RDP服务，因此漏洞主要影响的是那些使用了Windows Server 2008和Windows Server 2003的服务器系统。这类系统在学校的网络中使用率还比较高，建议学校的管理员排查管辖范围内的相关服务，主要关注TCP 3389端口开放的情况，对于发现已经开放了此服务的服务器一定要第一时间进行补丁更新，如果暂时无法进行更新，建议使用下列临时办法降低漏洞带来的风险：

1.如果无需使用远程桌面服务（RDP服务），请关闭该服务。如果必须使用请使用防火墙限制服务的访问来源到可信任的网络。

2. 启用网络级别身份验证（NLA），以阻止未经身份验证的攻击者利用此漏洞。启用NLA后，攻击者首先需要使用目标系统上的有效账户对远程桌面服务进行身份验证，然后才能利用此漏洞。这可以缓解蠕虫的攻击风险。