• <nav id="5jebs"></nav>
    <button id="5jebs"></button>

      2.  
        2. 
    
           
          
        • 智安全
        • 信服云
        • 信創適配
        • 行業
        • 試用中心
        • 技術與服務
        • 合作伙伴
        • 產業教育
        • 更多
         
         
         
         
         
         
        中文
            
         
         
         
           
              
           
           
           
          搜索
           
          搜索
           
           
           
           
           
           
           
           
           
          中文
                      
           
           
           
           
          新聞中心
           
           新聞中心??>??漏洞預警 | Remote Desktop Protocol任意代碼執行漏洞(CVE-2019-07
           
          漏洞預警 | Remote Desktop Protocol任意代碼執行漏洞(CVE-2019-07
           
          背景圖 2019-05-24 00:00:00
           
           
           
           
 

           
           
 
           
           
 
          
  2019年5月14日,Microsoft在最新的安全更新公告中披露了一則RDP遠程代碼執行漏洞。通過此漏洞,攻擊者無需經過身份驗證,只需要使用RDP連接到目標系統并發送特制請求,就可以觸發漏洞,實現在目標系統上遠程執行代碼。
 
          
 
           
  
          漏洞信息
           
 
          
 
          
  漏洞名稱:Remote Desktop Protocol
 
          
 
          
  威脅等級:嚴重
 
          
 
          
  影響范圍:Windows XP、Windows 7 、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
 
          
 
          
  漏洞類型:任意代碼執行漏洞
 
          
 
          
   
 
          
 
          
  Remote Desktop Protocol組件介紹 Remote Desktop Protocol(遠程桌面協議,RDP)是微軟公司創建的專有協議。它允許系統用戶通過圖形用戶界面連接到遠程系統。在默認情況下,該協議的客戶端代理內置在微軟的操作系統中,也可以安裝在非微軟操作系統中。RDP的服務器端安裝在微軟操作系統中,從客戶端代理接收請求,顯示發布應用程序的圖形界面或者遠程訪問系統本身。默認情況下,系統在3389端口來監聽來自客戶端的通過RDP的連接請求。
 
          
 
          
   
 
          
 
          
  通常情況下,在企業中,RDP或者終端服務會話被配置在需要分布式客戶端機器來連接的服務器上。它可以用于管理、遠程訪問或者發布用于中央使用的應用程序。該協議還常被桌面管理員來遠程訪問用戶系統,以協助排除故障。如果RDP沒有正確配置或存在漏洞,這種特定功能將會給企業帶來威脅,因為未授權訪問者將可以訪問關鍵企業系統。
 
          
 
           
  
          漏洞描述
           
  CVE-2019-0708,屬于遠程代碼執行漏洞,當未經身份驗證的攻擊者使用RDP連接到目標系統并發送特制請求時,即可觸發該漏洞。無需用戶交互,成功利用此漏洞的攻擊者可以安裝應用程序,查看、更改、刪除數據或創建具有完全用戶權限的新賬戶。
           
           此外,惡意攻擊者還很有可能利用該漏洞專門編寫惡意代碼到定制的惡意軟件,攻擊易受感染的主機并進行病毒傳播。
                      
  
          漏洞分析
           
  
          漏洞原理
           
 
          
 
          
  遠程桌面協議(RDP)支持客戶端和服務器之間的連接,并且以虛擬信道的形式定義了它們之間通信的數據。虛擬信道是雙向數據管道,可以針對RDP實現擴展。
           
           Windows Server 2000使用RDP 5.1定義了32個靜態虛擬信道(Static Virtual Channel, SVC),由于信道數量的限制,進一步定義了動態虛擬信道(Dynamic Virtual Channel, DVC),這些信道包含在專用SVC中。 SVC在會話開始時創建并保持到會話終止,而DVC將會根據是否需要確定是否創建和拋棄。
           
           此次微軟補丁termdd.sys中的_IcaBindVirtualChannels和_IcaRebindVirtualChannels函數用于對這32個SVC進行綁定相關操作。
           
           如下圖所示,RDP連接序列在信道安全屬性設置之前就進行了連接和設置,這為CVE-2019-0708的創建和傳播提供了條件。
           
                     
 
          
 
          
  
 
          
 
          
  ▲ RDP協議序列
           
                     
 
          
 
           
  
          漏洞流量分析
           
 
          
 
          
  
 
          
 
          
  “MS_T120”這個SVC名稱在RDP協議的GCC Conference初始化序列時被綁定為數字31的參考信道。此信道名稱由Microsoft內部使用,在客戶端沒有明顯的、合法的使用以“MS_T120”命名的SVC來發起請求進行連接的用例。
           
           下圖展示了一個標準GCC Conference初始化序列的信息。
           
                     
 
          
 
          
  
 
          
 
          
  ▲標準GCC Conference初始化序列信息
 
          
 
          
  
           然而,在GCC Conference初始化期間,攻擊者可以在31之外的信道上設置另一個名為”MS_T120”的SVC,這種行為將會導致堆內存破壞,最終可以實現遠程代碼執行。下圖展示了GCC Conference初始化序列期間的異常信道請求:
           
                     
 
          
 
          
  
 
          
 
          
  ▲GCC Conference初始化序列期間的異常信道請求
 
          
 
           
  
          漏洞補丁函數分析
           
 
          
 
          
  下圖中顯示了MS_T120信道管理中涉及的相關組件。rdpwsx.dll和rdpwp.sys會為MS_T120信道分配堆內存。在31之外的信道索引的上下文中對MS_T120信道進行處理時,會發生堆內存損壞,損壞位置位于termdd.sys中。
           
                     
 
          
 
          
  
 
          
 
          
  ▲RDP相關文件關系
 
          
 
          
  
           通過對微軟更新的CVE-2019-0708補丁的分析,可以發現該補丁修復了RDP驅動程序termdd.sys中的_IcaBindVirtualChannels和_IcaRebindVirtualChannels函數。
           
           下圖補丁函數分析所示,Microsoft補丁針對使用了信道名稱“MS_T120”的情況下,添加了對客戶端連接請求的檢查,并確保它在termdd.sys中的_IcaBindVirtualChannels和_IcaRebindVirtualChannels函數中僅綁定到通道31(1Fh)。
           
                     
 
          
 
          
  
 
          
 
          
  ▲補丁函數分析
                     
 
           
 
          
  
 
          
 
          
  ▲補丁函數分析
 
          
 
           
  
          影響范圍
           
  
          暴露資產情況
           
 
          
 
          
  到目前為止,在全球范圍內對互聯網開放RDP的資產數量已經多達1250萬,其中美國地區對外開放的RDP數量排名第一,為341萬臺。排名第二與第三的分別是中國和德國,其中中國數量遠遠超過德國的數量。
 
          
 
          
  
 
          
 
          
  ▲RDP全球范圍內情況分布
 
          
 
          
   (統計數據僅為對互聯網開放的資產,本數據來源于FOFA)
 
          
 
          
  
           由以上數據統計看來,國內RDP的使用基數很高,用戶相當廣泛。其中RDP使用量最高的三個省市是北京,浙江以及廣東。北京的使用量最高,數量達864982臺,浙江省的使用量也達57萬以上,廣東省的使用量達27萬。因此,針對此次RDP的漏洞防范尤為重要。
           
                     
 
          
 
          
  
 
          
 
          
  ▲RDP國內使用情況分布
 
          
 
          
   (統計數據僅為對互聯網開放的資產,本數據來源于FOFA)
           
                     
 
          
 
           
  
           目前受影響Windows版本
           
 
          
 
          
  Microsoft Windows XP
           Microsoft Windows Server 2008 R2 for x64-based Systems SP1
           Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
           Microsoft Windows Server 2008 for x64-based Systems SP2
           Microsoft Windows Server 2008 for Itanium-based Systems SP2
           Microsoft Windows Server 2008 for 32-bit Systems SP2
           Microsoft Windows Server 2003
           Microsoft Windows 7 for x64-based Systems SP1
           Microsoft Windows 7 for 32-bit Systems SP1
                      
  
          解決方案
           
   深信服下一代防火墻可輕松防御此漏洞,建議部署深信服下一代防火墻的用戶更新至最新的安全防護規則,可輕松抵御此高危風險。修復建議如下:
                      
  
          及時安裝微軟發布的安全更新補?。?/span>
           
   Microsoft官方已經在 2019年5月14日修復了該漏洞,用戶可以通過安裝微軟的安全更新來給系統打上安全補丁,下載地址為:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
           同時針對已不受微軟更新支持的系統Windows Server 2003和Windows XP提供的安全更新,下載地址:https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
                      
  
          緩解措施(在無法及時安裝微軟安全更新的情況下作為臨時性解決方案)
           
   若用戶不需要用到遠程桌面服務,建議禁用該服務。
           開啟網絡級別身份驗證(NLA),此方案適用于Windows 7, Windows Server 2008, Windows Server 2008 R2。
           暫時性修改RDP的連接端口,默認端口為3389。
           使用ACL對RDP的訪問來源進行限制。
           使用RDP網關,網關的功能是安全的將流量從遠程客戶端傳遞到本地設備。
           使用RDP網關可以防止或最小化遠程用戶訪問,并使組織能夠更好的控制用戶角色,訪問權限和身份驗證需求。
           
           以上緩解措施只能暫時性針對該漏洞對系統進行部分緩解,強烈建議在條件允許的情況下及時安裝微軟安全更新。
                      
  
          參考鏈接
           
  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
           
           https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/
           
           https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-rdpbcgr/5073f4ed-1e93-45e1-b039-6e30c385867c          
 
           

           

           
           
          
              上一篇:
              
                新型勒索病毒Attention感染醫療與半導體行業
              
           
           
          相關新聞
            查看更多新聞
          相關資料
            
          相關案例
            
           
           
           
           
            關于我們
             
          • 掃碼獲取一對一服務
             企業微信二維碼-官網
            •  
          • 關注我們
             
           
          智安全
          信服云
          資源中心
          如何購買
          售后支持
          公司
           
             
           
          熱門解決方案:
           
          DeepSeek承載創新方案
          云網端安全方案
          VMware替代方案
          一體化辦公安全方案
          友情鏈接:
           
          信銳技術
          口袋助理
          托管云官網
           
          ? 2025 深信服科技股份有限公司版權所有 
          粵ICP備08126214號 
          粵公網安備44030502002384號 
          合字B1.B2-20220041 
           
           
           
            
           
           
          
  
久久在精品线影院,久久视频这里只精品亚洲,99欧美精品含羞草,欧洲精品性爽视频