Windows远程桌面服务远程命令执行漏洞(CVE-2019-1181、CVE-2019-1182)

来源:scanv2019.08.14

一 漏洞概述

远程桌面服务(以前称为终端服务)中存在远程执行代码漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,成功利用此漏洞的攻击者可以在目标系统上执行任意代码,然后攻击者可以安装程序、查看、更改或删除数据; 或创建具有完全用户权限的新帐户。利用此漏洞,攻击者仅需要通过RDP向目标系统远程桌面服务发送恶意请求。
2019年8月13日,微软发布了一套针对远程桌面服务的新修复程序,其中包括两个关键的远程执行代码(RCE)漏洞,  CVE-2019-1181和CVE-2019-1182。与之前修复的“BlueKeep”漏洞(CVE-2019-0708)一样,任何利用这些漏洞的恶意软件都可能从易受攻击的计算机传播到易受攻击的计算机而无需用户交互。

二 漏洞危害

成功利用此漏洞的攻击者可以在目标系统上执行任意代码,然后攻击者可以安装程序、查看、更改或删除数据; 或创建具有完全用户权限的新帐户。

三 影响版本

Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for 64-based Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)
Windows Server, version 1903 (Server Core installation)

四 复现过程

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “windows” 进行搜索,共得到59,730,865 条 IP 历史记录,主要分布在美国、中国等国家。

六 修复建议

通过Windows 操作系统中的Windows Update功能进行更新。

临时修复建议:
1、禁用远程桌面服务。
2、在防火墙中对远程桌面服务端口(3389)进行阻断。
3、在开启了远程桌面服务的服务器上启用网络身份认证。

七 相关链接

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult?q=windows

热门文章

关注知道创宇云安全

获取安全动态