5月14日,微軟發布了針對遠程桌面服務遠程執行代碼漏洞(CVE-2019-0708)的補丁,未經身份驗證的攻擊者使用RDP連接到目標系統並發送特製請求時觸發該漏洞。
該漏洞可能引發類似於Wannacry這樣的蠕蟲級勒索病毒的產生,其嚴重性不低於永恆之藍。2019年9月7日,針對該漏洞的遠程代碼執行利用工具已經公開發布,且經天融信阿爾法實驗室測試該工具可以實現遠程代碼執行。該工具的公開導致此漏洞的安全威脅再次升級,有可能為Wannacry這樣蠕蟲級的病毒所利用,強烈建議用戶安裝微軟官方漏洞補丁或者使用天融信產品進行漏洞防護,以避免該漏洞引發的安全威脅。0x01漏洞編號CVE-2019-0708
Windows 7 for x64-basedSystems Service Pack 1
Windows Server 2008 for 32-bit SystemsService Pack 2
Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based SystemsService Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1
Windows Server 2008 R2 for x64-based SystemsService Pack 1
Windows Server 2008 R2 for x64-based SystemsService Pack 1 (Server Core installation)
Windows XP SP3 x86
Windows XP SP2 x64
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 SP2 x64
0x03修復建議2.1官方補丁
微軟已經為該漏洞發布更新補丁(包括官方停止維護版本),請用戶及時進行補丁更新。獲得並安裝補丁的方式有三種:內網WSUS服務、微軟官網Microsoft Update服務、離線安裝補丁。離線安裝補丁下載地址如下:下載對應補丁安裝包,雙擊運行即可進行修復。https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
官方已停止維護版本漏洞補丁下載地址如下:https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
2.2臨時解決方案1、禁用遠程桌面服務。
2、 通過主機防火牆對遠程桌面服務埠進行阻斷(默認為TCP 3389)。
3、 啟用網絡級認證(NLA),此方案適用於Windows 7、Windows Server 2008和Windows Server 2008 R2。啟用NLA後,攻擊者首先需要使用目標系統上的有效帳戶對遠程桌面服務進行身份驗證,然後才能利用此漏洞。
0x04天融信產品防禦及檢測方案4.1天融信產品防禦方案
可通過訪問控制限制3389埠的訪問,具體配置操作如下。
1、TOS版本配置方法
1)添加地址資源
l 點擊資源管理→地址,如下圖所示:
l 地址資源可添加主機、範圍、地址組和子網。
示例為添加主機資源。
2)添加訪問控制策略
l 點擊防火牆→訪問控制,如下圖所示:
l 點擊添加策略
根據業務需求添加策略所需的源以及目的,可添加的資源有地址、VALN和區域。
服務選項卡中選擇MSTerminal。(3389埠為防火牆預定義服務,添加時選擇MSTerminal埠即可)
動作選擇為禁止,即可通過此策略阻斷3389埠的數據。
2、NGTOS版本配置方法
1)添加地址資源
l 點擊資源管理→地址,添加資源,如下圖所示:
可添加的屬性為:主機、地址組、範圍和子網
2)添加訪問控制策略
l 點擊安全策略→訪問控制添加策略,如下圖所示
點擊添加選擇策略
根據業務需求添加策略所需的源以及目的,可添加的資源有地址和區域。
服務選項卡中選擇MSTerminal。(3389埠為防火牆預定義服務,添加時選擇MSTerminal埠即可)
動作選擇為禁止,即可通過此策略阻斷3389埠的數據。
通過在天融信風險探知系統上配置掃描目標和掃描埠可對內部全網進行高危埠風險探查,精準發現開放有微軟遠程桌面服務遠程代碼執行漏洞的主機或設備,及時進行定向安全防護處置,在風險探知上的配置方法簡述如下:
1、新增掃描目標
管理掃描目標的具體操作步驟如下:
1)選擇 任務管理> 掃描配置> 掃描目標管理。
2)新建掃描目標
(a)點擊「 新增 」,如下圖所示。
(b)參數設置完成後,點擊「 確定 」按鈕即可完成掃描目標的創建。
(c)添加完成後的效果:
2、新建掃描埠
管理掃描埠的具體操作步驟如下,主要添加3389等高危埠:
選擇 任務管理> 掃描配置> 掃描埠管理,如下圖所示
(a)點擊「 新增 」,如圖所示。
(b)參數設置完成後,點擊「確定」按鈕即可完成掃描目標的創建。
3、配置主機掃描任務
配置主機掃描任務的具體操作步驟如下:
選擇 任務管理> 任務列表> 主機掃描任務,如下圖所示。
點擊「 新增 」,創建任務名稱,添加之前創建的掃描目標和掃描埠,即可完成主機掃描任務的配置。
4、掃描完成後對高危埠的查詢結果
根據查詢結果,可對開放有高危埠的IP資產進行針對性的安全檢查和安全防護,還可根據需要加上更多條件如作業系統,進行更為精確的查詢匹配。
天融信日誌收集與分析系統收集企業內部各類設備、主機、服務等日誌,可通過日誌分析與統計來發現一些風險,如在日誌查詢中查詢收集到的防火牆日誌,並對目的埠做篩選,過濾出目的埠為3389的日誌,如下:
然後可通過統計主題功能來發現防火牆訪問日誌中高頻訪問高危埠的IP,從而發現可能的攻擊者IP(這裡以統計3389埠為例),也可發現開放了高危埠的IP,從而對這些可能的漏洞資產進行針對性的安全防護,具體配置方法如下:
1、配置統計主題
1)選擇 日誌 > 查詢統計,激活「統計主題」頁籤,進入統計主題列表,點擊【新建】按鈕,彈出「創建主題」。
2)在分組欄位勾選「源地址」,統計欄位勾選「目的埠」,添加過濾條件「目標埠」等於3389,保存後,執行主題就可完成統計。
2、統計完成後的結果查看
選擇 日誌 > 查詢統計,選擇當前統計任務,點擊預覽「 」預覽統計結果。
這樣就把高頻訪問3389埠的IP統計出來了,這些IP作為攻擊者的可疑性較高,建議有針對性的進行安全檢查和處置。
查看開放3389埠的資產,可用上述配置方法,效果如下,這些IP均開放了3389埠,建議有針對性的採取關閉3389埠或通過主機防火牆進行限制訪問等安全防護措施。
其他高危埠的統計分析配置方法同上,還可根據統計需要加入其他的統計欄位以精確匹配。
通過在天融信基線管理系統上使用telnet等協議添加目標設備後對Windows設備進行自動化安全配置檢查、分析,並提供專業的合規性報表與相關安全配置項的建議。如針對此次RDP漏洞和補丁,在基線管理系統上可對目標資產進行RDP服務啟禁用檢查和相應補丁是否安裝的檢查,具體配置方法簡述如下:
1、新增掃描目標
添加需要檢查設備的具體操作步驟如下:
1)選擇 設備中心> 選擇設備域> 點擊添加按鈕。
2)依次選擇 作業系統> windows,點擊下一步
3)按照實際情況,填寫設備信息,點擊檢測,識別成功後,點擊提交->關閉。
2、添加檢查任務
1)點擊 檢查任務 -> 點擊在線任務 -> 填寫任務名稱 -> 點擊下一步。
2)勾選添加的設備,點擊添加按鈕,點擊提交 -> 查看檢查
3)查看檢查項是否合規,如下顯示天融信基線管理系統檢查到該資產上開啟了RDP服務,根據設定的規則判定為不合規
4)還可查看補丁包信息是否安裝遠程桌面服務遠程執行代碼漏洞(CVE-2019-0708)的補丁,如下所示,天融信基線管理系統檢查到該資產上安裝了相應的補丁,檢查合規;
在檢查項不合規的情況下,可根據基線管理系統的配置建議進行配置直至最終檢查合規。
獲取支持聯繫方式如下:
撥打400-777-0777電話聯繫技術支持團隊獲得支持。
0x06聲明天融信阿爾法實驗室擁有對此公告的修改和解釋權,如欲轉載,必須保證此公告的完整性。由於傳播、利用此公告而造成的任何後果,均由使用者本人負責,天融信阿爾法實驗室不為此承擔任何責任。
天融信阿爾法實驗室成立於2011年,一直以來,阿爾法實驗室秉承「攻防一體」的理念,匯聚眾多專業技術研究人員,從事攻防技術研究,在安全領域前瞻性技術研究方向上不斷前行。作為天融信的安全產品和服務支撐團隊,阿爾法實驗室精湛的專業技術水平、豐富的排異經驗,為天融信產品的研發和升級、承擔國家重大安全項目和客戶服務提供強有力的技術支撐。