关于Windows RDP服务远程代码执行漏洞（CVE-2019-0708）预警

2019-09-07

一、概要

2019年9月7日，华为云安全团队获取到开源的漏洞利用框架metasploit-framework新增了Windows RDP服务远程代码执行漏洞（CVE-2019-078）的利用模块（cve_2019_0708_bluekeep_rce），利用此EXP代码可以实现有针对性的远程任意代码执行，漏洞利用工具开始扩散，已经造成蠕虫级的安全威胁，风险极大。请受影响的用户尽快安排自检并做好安全加固。

2019年5月15日，华为云检测到微软发布了5月份安全补丁公告，当中包含一个高风险级别的RDP服务远程代码执行漏洞（CVE-2019-0708）。该漏洞是预身份验证，无需用户交互，可通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机上，其方式与2017年WannaCry恶意软件的传播方式类似。

华为云已采取措施保证平台侧的安全以及将租户侧Windows镜像更新到最新，同时提醒各位租户尽快安排自检并做好安全加固。

参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

二、威胁级别

威胁级别：【紧急】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

Windows 7

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows XP

（注：Windows 8、Windows 10 不受影响）

四、处置方案

微软官方已在最新的安全补丁程序中修复了此漏洞， 请受影响的租户尽快完成补丁更新

Windows7、Windows Server 2008/2008R安全补丁链接：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708

Windows 2003、Windows XP安全补丁链接：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708?spm=a2c4g.11174386.n2.4.199d1051jwna00

临时缓解措施：

1、若您不需要使用远程桌面服务，可禁用RDP服务，或在企业外围或边界防火墙部署安全策略，阻止TCP端口3389。

2、若您需要使用远程桌面服务，可通过华为云堡垒机服务有效隔离云上设备与外网的直接交互，减少云上设备被外网攻击的风险。

3、开启网络身份验证（NLA），参考链接：

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732713(v=ws.11)

注：修复漏洞前请将资料备份，并进行充分测试。