5月15日，微软公布了5月的补丁更新列表，在其中存在一个被标记为严重的RDP（远程桌面服务）远程代码执行漏洞，攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据在目标系统上执行恶意代码，从而获取机器的完全控制。此漏洞主要影响的设备为Windows 7、Window Server 2008以及微软已不再支持的Windows 2003、Window XP操作系统，涉及系统在国内依然有大量的使用，所以此漏洞的影响面巨大。由于漏洞利用无需用户交互的特性结合巨大的影响面，意味着该漏洞极有可能被蠕虫所利用，如果漏洞利用稳定有可能导致WannaCry蠕虫泛滥的情况发生。

奇安信息威胁情报中心红雨滴团队第一时间跟进该漏洞并保持关注，目前已经确认利用此漏洞可以至少非常稳定地触发受影响系统蓝屏崩溃从而导致拒绝服务，多个安全厂商甚至个人都掌握了此漏洞的POC，所以此漏洞当前已经构成了非常现实的威胁。

相关厂商微软针对此漏洞已经发布了安全补丁（包括那些已经不再提供技术支持的老旧操作系统），强烈建议用户立即安装相应的补丁以避免受到相关的威胁。

漏洞描述

漏洞存在Windows的Remote Desktop Services（远程桌面服务）中，技术细节已知但不详述，对于漏洞的利用无需用户验证，通过构造恶意请求即可触发导致任意指令执行，系统受到非授权控制。

影响面评估

此漏洞影响Windows 7、Window Server 2008以及微软已不再支持的Windows2003、Window XP操作系统，目前通过技术评估，还存在大量未安装补丁的RDP服务在线，影响面巨大。而且，已有部分安全研究机构和个人掌握了直接可导致存在漏洞的RDP服务所在系统蓝屏崩溃的POC，形成非常明确的现实威胁，需要引起高度重视。

处置建议

修复方法

1、目前软件厂商微软已经发布了漏洞相应的补丁，奇安信威胁情报中心建议进行相关升级

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC

WindowsXP 及Windows 2003可以在以下链接下载补丁：

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

2、奇安信公司推出了针对性的“CVE-2019-0708”漏洞检测修复工具1.0.0.1004版：

https://www.qianxin.com/other/CVE-2019-0708

奇安信公司的其他安全产品：天堤防火墙、天眼高级威胁检测系统、SOC及态势感知系统都已经支持对于此漏洞利用的检测和防护。

3、如暂时无法更新补丁，可以通过在系统上启用网络及身份认证（NLA）以暂时规避该漏洞影响。

4、在企业外围防火墙阻断TCP端口3389的连接，或对相关服务器做访问来源过滤，只允许可信IP连接。

5、如无明确的需求，可禁用远程桌面服务。

参考资料

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

https://www.qianxin.com/other/CVE-2019-0708