2019年8月14日,微软发布了更新后的windows系统补丁,代号为:CVE-2019-1181和CVE-2019-1182补丁,全面修复了windows远程桌面的远程代码执行漏洞。通过对SINE安全技术对补丁的分析,发现这两个漏洞已被修复,可能导致攻击者通过远程链接绕过管理员的安全认证。攻击服务器和计算机,提高权限和上传webshell,与之前发生的勒索软件一样,永恒之蓝是一个级别,有害的,关于漏洞的细节我们来看一下:
目前,该漏洞受到的影响范围较广:
Windows 7 SP1版本
windows 2008 R2 SP1操作系统
Windows 2012全系列发布
windiws8.1
windows10版本
以上系统版本可能受到攻击。检查rdp版本是否在8.0到8.1之间。如果是这个版本,就有漏洞。windows2003服务器、windows xp和windows 2008操作系统不受此rdp漏洞的影响。
远程桌面RDP漏洞概述:
windows远程桌面服务存在RDP协议漏洞,可能导致远程代码执行漏洞。攻击者模拟数据包连接到服务器,绕过windows的安全验证,直接向服务器发送恶意数据包,服务器直接接收并执行。这样,服务器上就可以上传webshell木马了。除了利用服务器dll后门,攻击者还利用RDP远程协议漏洞在服务器上安装软件、删除数据和创建管理员帐户。利用此漏洞只需要建立RDP连接。
CVE-2019-1181/1182漏洞修复程序及补丁
建议网站和服务器维护人员打开windows自动更新,检查更新情况,并自动下载并安装最新补丁,或手动修复补丁,微软官方下载地址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182也可以启用windows认证,设置网络认证级别为NLA功能。NLA模式在攻击时验证攻击者的身份,只有合法的身份才能登录连接。阿里云服务器用户可以将3389远程端口添加到安全组规则中,并单独释放IP,以阻断该漏洞的攻击。