今年05月15日，微软公布了5月的补丁更新列表，其中存在一个被标记为严重的RDP（远程桌面服务）远程代码执行漏洞CVE-2019-0708的修复程序，影响Windows 7、Windows XP等一些旧版本的Windows系统，影响广泛而深远。在看雪2019安全开发者峰会（2019 SDC）上，一位演讲嘉宾为我们详细的分析了该漏洞。

本月，Windows RDP再曝远程代码执行漏洞。

在8月补丁星期二活动日中，微软共修复了5个安全问题。其中，在面向Windows 10发布累积更新的同时，微软还修复了存在于Remote Desktop Services组件中的两个远程代码执行漏洞CVE-2019-1181/CVE-2019-1182，这两个漏洞影响了几乎目前所有受支持的Windows系统。

漏洞详情

未经身份验证的攻击者利用该漏洞，向目标服务端口发送恶意构造请求，可以在目标系统上执行任意代码。无需用户进行任何输入的情况下在网络的电脑之间传播恶意软件，意味着这个漏洞可以通过网络蠕虫的方式被利用。

利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机，与2019年5月14日修补的远程桌面服务的远程代码执行漏洞CVE-2019-0708和2017年WannaCry恶意软件的传播方式类似。

影响范围

Windows 7 SP1，Windows Server 2008 R2 SP1，Windows Server 2012，Windows 8.1，Windows Server 2012 R2和所有版本的Windows 10（包括服务器变体）都受到漏洞的影响。

注意：对于使用Windows 7 Service Pack 1或者Windows Server 2008 R2 Service Pack 1的用户，只有安装了RDP 8.0或RDP 8.1，这些操作系统才会受到此漏洞的影响。

只有较旧版本的Windows（如Windows XP，Windows Server 2003和Windows Server 2008）才不受该漏洞影响。

微软指出，目前还没有任何证据表明这些漏洞已经被任何恶意行为者利用。

缓解措施

目前，微软官方已发布补丁修复此漏洞，建议用户将相关系统版本立即升级至最新版本：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

临时修复建议>> 关闭企业边界防火墙上的TCP端口3389>> 如果系统上不再需要这些服务，可以考虑禁用>> 在受支持的Windows 7、Windows Server 2008和Windows Server 2008 R2版本的系统上启用网络身份验证(NLA)，这使得攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证然后才能利用该漏洞

来源：等保测评、cnbeta

进阶安全圈，不得不读的一本书