漏洞概述

 CVE-2019-0708，屬于任意代碼遠程執行漏洞，當未經身份驗證的攻擊者使用RDP連接到目標系統并發送特制請求時，即可以觸發該漏洞。此漏洞屬于預身份驗證，無需用戶交互，成功利用此漏洞的攻擊者可以安裝應用程序，查看、更改或刪除數據或創建具有完全用戶權限的新賬戶。

由于該漏洞可能導致的后果較為嚴重，今年5月份，深信服安全團隊在追蹤到該漏洞情報時已經第一時間向廣大用戶推送預警，并提供相應的防范措施：

漏洞預警 | Remote Desktop Protocol任意代碼執行漏洞(CVE-2019-0708) 

目前，由于EXP的公開發布，惡意攻擊者還很有可能利用該漏洞編寫定制的惡意軟件， 利用此漏洞的惡意軟件傳播影響引發類似2017年WannaCry惡意軟件遍布全球的事件，廣大用戶需要更加警惕利用該漏洞的惡意軟件的出現，提前做好預防措施。

漏洞分析

成功利用漏洞的前提是將名稱為“MS_T120”的靜態信道成功綁定到正常信道以外。由于微軟官方在內部會使用一個名為MS_T120的信道，因此此信道理論上不應該接收任意消息。

在完成RDP協議的握手過程后，將開始向已經綁定的各個信道中發送消息。MS_T120信道的消息是由用戶模式組件——rdpwsx.dll進行管理，該dll創建一個線程，該線程將在函數rdpwsx!IoThreadFunc中進行循環，通過I/O端口讀取消息。

數據通過I/O數據包傳入后，將進入rdpwsx!MCSPortData 函數進行處理：

從函數中可以看到，在rdpwsx!MCSPortData 函數中，有兩個opcode：0x0和0x2。如果opcode為0x2，則調用rdpwsx！HandleDisconnectProviderIndication函數執行清理動作，然后使用rdpwsx！MCSChannelClose關閉通道。

從理論上來說，發送的數據包大小都在合法范圍的MS_T120消息，將會正常關閉MS_T120信道，并斷開連接程序（此時opcode為0x2），并且進行清理操作，此時將不會產生遠程代碼執行和藍屏崩潰的風險。如果發送的數據包大小無效，就會導致遠程代碼執行和拒絕服務。

漏洞復現

根據該EXP的發布者稱，該EXP針對Windows 7和Windows Server 2008 R2 x64。深信服千里目第一時間進行了復現，證實該EXP確實可導致任意代碼執行。

該EXP被發布者在Metasploit的官方Github的Pull Request中，但尚未加載進Metasploit的官方框架中。

 如上圖中所示，按照Metaploit的正常使用流程即可加載該EXP。RHOSTS參數指定目標主機，target參數指定目標主機的系統版本，目前只有Windows 7 和 Windows Server 2008 R2兩個版本。加載EXP后，執行，即可獲取目標主機的權限。

影響范圍

目前受影響的Windows版本：

Microsoft Windows XP

Microsoft Windows Server 2008 R2 for x64-based Systems SP1

Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1

Microsoft Windows Server 2008 for x64-based Systems SP2

Microsoft Windows Server 2008 for Itanium-based Systems SP2

Microsoft Windows Server 2008 for 32-bit Systems SP2

Microsoft Windows Server 2003

Microsoft Windows 7 for x64-based Systems SP1

Microsoft Windows 7 for 32-bit Systems SP1

漏洞修復

• 及時安裝微軟發布的安全更新補丁

Microsoft官方已經在 2019年5月14日修復了該漏洞，用戶可以通過安裝微軟的安全更新來給系統打上安全補丁，下載地址為：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

同時針對已不受微軟更新支持的系統Windows Server 2003和Windows XP提供的安全更新，下載地址:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

• 緩解措施（在無法及時安裝微軟安全更新的情況下作為臨時性解決方案）

若用戶不需要用到遠程桌面服務，建議禁用該服務。

開啟網絡級別身份驗證（NLA），此方案適用于Windows 7, Windows Server 2008, Windows Server 2008 R2。 

以上緩解措施只能暫時性針對該漏洞對系統進行部分緩解，強烈建議在條件允許的情況下及時安裝微軟安全更新。

深信服解決方案

• 深信服云眼 在漏洞爆發之初，已完成檢測更新，對所有用戶網站探測，保障用戶安全。不清楚自身業務是否存在漏洞的用戶，可注冊信服云眼賬號，獲取30天免費安全體驗。

注冊地址為：https://saas.sangfor.com.cn

• 深信服云鏡在漏洞爆發的第一時間就完成從云端下發本地檢測更新，部署云鏡的用戶只需選擇緊急漏洞檢測，即可輕松、快速檢測此高危風險。

• 深信服EDR 漏洞規則庫緊急更新，支持Remote Desktop Protocol任意代碼執行漏洞(CVE-2019-0708)的檢測和補丁分發，漏洞規則庫版本：20190515185804。聯網客戶可直接在線更新。 離線規則庫已在5月16日上傳至深信服社區，有需要的客戶請到深信服社區下載。

• 深信服推出安全運營服務，通過以“人機共智”的服務模式幫助用戶快速擴展安全能力，針對此次緊急漏洞，安全運營服務已在5月份進行漏洞檢測、安全設備策略檢查，目前針對此次EXP，現已再次進行漏洞檢測，確保第一時間檢測安全風險以及更新策略，防范此類安全風險。

時間軸