Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)

作者:???深圳市网安计算机安全检测技术有限公司 2019/05/15 16:22:06 286次阅读 国际
文章来源:https://mp.weixin.qq.com/s/frh1wxIpX7ymfWkgx9cZ1g

? ? ? ? 深信服安全团队 深信服千里目安全实验室 今天

? ? ? ?2019年5月14日,Microsoft在最新的安全更新公告中披露了一则RDP远程代码执行漏洞。通过此漏洞,攻击者无需经过身份验证,只需要使用RDP连接到目标系统并发送特制请求,就可以在目标系统上远程执行代码。

a5e3555f375707d55f31b017cc43d30d.png

????????Remote Desktop Protocol(远程桌面协议,RDP)是微软公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。在默认情况下,该协议的客户端代理内置在微软的操作系统中,也可以安装在非微软操作系统中。RDP的服务器端安装在微软操作系统中,从客户端代理接收请求,显示发布应用程序的图形界面或者远程访问系统本身。默认情况下,系统在3389端口来监听来自客户端的通过RDP的连接请求。
????????通常情况下,在企业中,RDP或者终端服务会话被配置在需要分布式客户端机器来连接的服务器上。它可以用于管理、远程访问或者发布用于中央使用的应用程序。该协议还常被桌面管理员来远程访问用户系统,以协助排除故障。如果RDP没有正确配置或存在漏洞,这种特定功能将会给企业带来威胁,因为未授权访问者将可以访问关键企业系统。

1a273db2f84e5ea2c5086a63eaad61e3.png

????????cve-2019-0708,属于远程代码执行漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞。此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户。
????????恶意攻击者还很有可能利用该漏洞专门编写恶意代码到定制的恶意软件, 利用此漏洞的任何未来恶意软件都可能以与 2017年WannaCry恶意软件遍布全球的类似方式从易受攻击的计算机传播到易受攻击的计算机 。

6fbc52163fdce9369a15c2e44f2a6cb0.png

????????到目前为止,在全球范围内对互联网开发RDP的资产数量已经多达1250万,其中美国地区对外开发的RDP数量排名第一,为341万台。排名第二与第三的分别是中国和德国,其中中国数量远远超过德国的数量。

378a4c1ef605f54156c7b1104fe38c9a.png

????????由以上数据统计看来,国内使用RDP的使用基数很高,用户相当广泛,在国内,RDP使用量最高的三个省市是北京,浙江以及广东,在北京的使用量最高,数量达864982台,在浙江省的使用量也达57万以上,广东省的使用量达27万,所以对此次RDP的漏洞防范尤为重要。

be66b019f6e59494fd9daf57b048a118.png

ac9a78abbd27406f9d52b059fe51cb0a.png

375361142c6d632269121bc49c333cdf.png


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室