Microsoft已针对其远程桌面服务中的漏洞发布了一个补丁,该漏洞可通过RDP远程利用,无需身份验证并用于运行任意代码:
远程桌面服务(以前称为终端服务)中存在远程执行代码漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时。此漏洞是预身份验证,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。然后攻击者可以安装程序; 查看,更改或删除数据; 或创建具有完全用户权限的新帐户。
没有比这更糟糕的事情了。
修补程序包含在Windows 7和Windows 2008更新列表中(可登录微软安全指南更新查看参阅完整列表的建议)。修补程序也可用于Windows XP和Windows 2003的版本(有关完整列表,可登录微软安全指南更新查看参)。有关本月周二补丁的所有细节,包括其他一些关键的修复,请阅读SophosLabs周二对5月补丁的分析。
该缺陷被认为是“蠕虫攻击”,这意味着它有可能被用于恶意软件,这些恶意软件在网络之间通过网络传播。
世界上有数百万的计算机网络将RDP暴露在外部网络中,这样不仅可以通过本地网络管理它们,还可以通过Internet管理它们。有时,外部访问是故意启用的;虽然暴露在公网之中是错误的但无论哪种情况,一个可以从外部访问RDP的网络都是很容易受到攻击的。
鉴于目标的数量以及爆发性,指数性扩散的可能性,我们建议您重视它,如果补丁是逆向工程并且创建了漏洞,那么你应该立即更新。有关更多指导,请查看本文末尾的[1]
微软还为Windows XP和Windows 2003发布了更新补丁的特殊步骤。
考虑到对客户及其业务的潜在影响,我们决定为不再支持主流的平台提供安全更新……我们建议运行这些操作系统之一的客户尽快下载并安装更新。
自Windows XP和2003年寿终正远以来的五年里,微软针对其操作系统家族中一些关键问题发布了不计其数的补丁,而这些问题并没有移植到其已退役的产品上。只有四次打破规则,包括这次,最明显的一次是在2017年的“WannaCry”爆发期间。
WannaCry是一种勒索蠕虫软件,它通过利用微软SMB软件版本中的缺陷,在一天内传播到世界各地。尽管上个月已经发布了该软件和补丁,但蠕虫还是很容易找到成千上万的Windows系统进行感染。
似乎是为了证明我们没有吸取补丁重要性的教训,WannaCry在一个多月后又被NotPetya跟踪,这是另一起使用相同漏洞的全球勒索软件爆发。
该怎么办?
一定记得要打补丁。
如果,由于某些原因,你不能立即更新补丁,微软提供了以下解决方案:
- 启用网络级身份验证(NLA)。这迫使用户在RDP暴露给攻击者之前进行身份验证。并非所有受影响的系统都支持NLA。
- 关掉RDP。如果RDP不运行,则无法利用该漏洞。很明显,有些组织没有RDP就无法工作,有些组织在运行RDP时没有意识到这一点。
- 禁用TCP端口3389。在外围禁用端口3389(以及分配给RDP的其他端口)将阻止攻击进入您的网络,但无法阻止攻击从您的网络内部发起。
by Mark Stockley
翻译整理自:nakedsecurity
[1]https://nakedsecurity.sophos.com/2019/05/15/update-now-critical-remote-wormable-windows-vulnerability/#what-to-do
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
