一、漏洞概述

5月15日,微软发布了针对远程桌面服务(Remote Desktop Services ,以前称为终端服务)的关键远程执行代码漏洞CVE-2019-0708的修复程序,该漏洞影响某些旧版本的Windows。

攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作。——意味着,存在漏洞的计算机只要联网,勿须任何操作,就可能遭遇黑客远程攻击,运行恶意代码。这类攻击可能导致蠕虫病毒爆发,就如前些年我们看到冲击波病毒、震荡波病毒,以及WannaCry勒索蠕虫病毒爆发类似。

目前腾讯御点终端安全管理系统已升级拦截针对该漏洞的攻击,并提示用户网络中存在该漏洞未修复,建议企业用户尽快使用腾讯御点的漏洞修复功能。

二、影响范围

该漏洞影响旧版本的Windows系统,包括:Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP

Windows 8和Windows 10及之后版本不受此漏洞影响。

特别提醒:

该漏洞影响Windows XP和Windows 2003这样已经超期服役的系统,微软官方已停止对WinXP、Win 2003的技术支持,而这些操作系统的用户往往是工业企业、政府机构、科研机构等内外网隔离的系统。一旦攻击者通过某些渠道入侵这些系统,可能导致无法控制的结果。

因为CVE-2019-0708高度危险,微软也为Windows XP和Windows 2003的用户单独提供了补丁程序。

三、个人用户修复方案

1.已安装电脑管家的个人用户

新版腾讯电脑管家已支持实时防御Windows远程桌面漏洞攻击,点击下载专版管家

推荐使用Windows Update或启动腾讯电脑管家工具箱中的修复漏洞功能,扫描并修复即可。

2.未安装电脑管家的个人用户

未安装电脑管家的用户,也可以下载腾讯安全提供的远程桌面服务漏洞检测修复工具来修复。

联机版(4.5MB),须联网从微软官方服务器在线下载相应补丁。下载微软官方补丁

离线版(291MB),已集成微软官方补丁,支持Win XP\Win 7\Win 2003\Win 2008各系统。下载微软官方补丁

四、企业用户修复方案

1.已安装御点的企业用户

业务系统通过兼容性测试后,可使用全网补丁推送方案。腾讯御点终端安全管理系统的用户,可通过管理控制台全网推送补丁安装。

腾讯御点终端安全管理系统已升级拦截针对该漏洞的攻击,企业内网已部署腾讯御点终端安全管理系统的用户不用担心该漏洞的风险。

企业用户还可以通过腾讯御界高级威胁检测系统,实时检测远程桌面服务漏洞的利用和攻击。

2.未安装御点的企业用户

企业用户也可使用腾讯安全提供的远程桌面服务漏洞检测修复工具来修复。

联机版(4.5MB),须联网从微软官方服务器在线下载相应补丁。下载微软官方补丁

离线版(291MB),已集成微软官方补丁,支持Win XP\Win 7\Win 2003\Win 2008各系统。离线版适合内网用户不能直接连接互联网的用户,管理员可通过内部文件服务器分发该工具。下载微软官方补丁

3.远程桌面服务漏洞(RDS漏洞)远程扫描工具

网管可以在内网批量扫描单个或特定IP段,了解局域网中哪些终端已经修补漏洞消除风险,哪些终端还存在漏洞必须尽快解决。网管找到存在漏洞的电脑,在该电脑上运行方案一提供的修复工具即可消除风险。

RDS漏洞远程扫描工具图形界面版下载地址:
http://dlied6.qq.com/invc/xfspeed/qqpcmgr/versetup/portal/RDSRemoteScanTools1.1.zip

文件信息:
MD5: FA731F461C3CCE73EFD184FBA7FCC95D
SHA1: 3CC4DFB5890E56234AEEEE45E8B6B0F0EEC3F136

RDS漏洞远程扫描工具图形界面版本演示效果:

4.远程桌面服务漏洞(RDS漏洞)修复工具热补丁版

由于部分服务器为避免业务应用中断,服务器不能重启,故需要使用热补丁修复漏洞,热补丁的特点就是安装后勿须重启,即刻具有漏洞免疫功能。

远程桌面服务漏洞(RDS漏洞)热补丁下载地址:
http://dlied6.qq.com/invc/xfspeed/qqpcmgr/versetup/portal/RDSQuickHotFix1.0.exe

1)双击运行QuickFix.exe自动开始扫描系统中是否存在RDS漏洞。

2)检测到存在RDS漏洞,单击立即修复,开始修复RDS漏洞。

3)热补丁运行时,会创建桌面卸载快捷方式,用于卸载热补丁修复模块。
注意事项:本修复工具无需重启,修复成功后直接生效,但重启后失效,需再次运行修复。

以上方案安装补丁有困难的或不准备使用远程桌面服务的用户,可采取其他缓解措施:

1)采用更加简单粗暴的解决办法:禁用远程桌面服务,开始->运行,输入"services.msc“,回车,在服务列表中找到”Remote Desktop Services“,直接禁用。
2)通过配置企业防火墙,阻断未经安全验证的IP连接远程桌面服务的端口(默认为3389)
3)启用网络级认证(NLA),此方案适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。启用NLA后,攻击者需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,因而提高了攻击门槛。

ipt>