安恒EDR方案：快速应对远程桌面服务执行代码漏洞(CVE-2019-0708)

5月14日，微软发布了针对远程桌面服务（旧称终端服务）的关键远程执行代码漏洞（CVE-2019-0708）的修复程序，该漏洞影响范围从Windows XP到Windows 2008 R2，破坏力堪比“永恒之蓝”的漏洞。

安恒信息已第一时间发布漏洞预警（漏洞预警 | 微软 CVE-2019-0708 高危漏洞），今天，安恒信息安全专家将带来全面的漏洞防护解决方案。

一

漏洞描述

关键远程执行代码漏洞（CVE-2019-0708）是预身份验证，无需用户交互。也就是说该漏洞是“可传播的”，攻击者在没有任何授权的情况下，可以远程直接攻击操作系统开放的3389端口（对应RDP即远程桌面协议），在受害主机上进行包括安装后门、查看、篡改隐私数据甚至创建拥有完全用户权限的新账户等恶意行为。

由于RDP服务应用广泛且该漏洞利用条件低，只要服务端口开放即可，导致该漏洞影响和危害程序堪比“永恒之蓝”。这意味着任何利用该漏洞的恶意软件都可能从一台受影响的计算机开始传播到整个内部网络，就像从2017年开始WannaCry等一系列恶意勒索软件在全球蔓延一样。

因此，微软也额外为Windows XP、Windows 2003这些已经停止支持的系统发布了该漏洞的安全补丁。

二

推荐措施

对于漏洞防护措施，安全专家建议，要从两方面入手：

一般防护措施

如果您是影响范围内的主机，安全专家建议立即采取以下几点措施，保护您的主机安全：

1、禁用远程桌面服务

如果您不需要使用远程桌面，那么就禁用吧！禁用未使用和不需要的服务，可以有效减少主机风险。若为了远程运维必须开启，为避免将远程桌面服务暴露在公网，可通过VPN登录访问，同时关闭139、135、445等不必要的端口。

2、立即更新补丁

微软已经推出安全更新，请参考下方链接进行更新，具体的补丁地址也在本文下方给出：

Windows XP、Windows Server 2003：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

Windows 7、Windows Server 2008、Windows Server 2008 R2：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

相关补丁下载地址：

系统	下载地址
Windows XP，32位，中文系统	http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe
Windows XP，32位，英文系统	http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-enu_d7206aca53552fececf72a3dee93eb2da0421188.exe
Windows XP，64位，英文系统	http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
Windows Server 2003，32位，中文系统	http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe
Windows Server 2003，32位，英文系统	http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-enu_62d416d73d413b590df86224b32a52e56087d4c0.exe
Windows Server 2003，64位，中文系统	http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe
Windows Server 2003，64位，英文系统	http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
Windows Server 2008(非R2！），32位	http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-x86_058da885ced3478b996f12d1fc40640c3796bdf3.msu
Windows Server 2008(非R2！），64位	http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-x64_3d7a9cec11c06caf7a280745eccfa99c2048c4d2.msu
Windows Server 2008 R2 ，64位	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows 7，32位	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows 7，64位	http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

3、启用网络级身份认证（NLA）

此方法适用Windows 7，Windows Server 2008，Windows Server 2008 R2

安恒主机卫士EDR防护 

当然，还有一种智能的方法，那就是立即安装安恒主机卫士EDR进行预防。来看下安恒主机卫士EDR是如何发挥作用的。

如果您是影响范围内的主机并且已经安装安恒主机卫士EDR，可以从以下几点入手：

1、批量封锁3389等端口

企业用户可以通过安恒主机卫士（EDR）的“微隔离”功能创建规则，封锁TCP端口3389等不需用到的高危端口，即使需要将端口开放给部分用户也可以配置部分IP放行的规则。资产数量较多，可以使用批量配置功能，全网统一下发策略。

2、进行漏洞修复

企业用户可以通过安恒主机卫士（EDR）的“漏洞管理”功能，先进行漏洞的扫描，然后一键对所有相关资产下发相应的补丁进行修复。

安恒主机卫士EDR是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。自主研发的免疫引擎与专利级文件诱饵引擎，有着业界领先的勒索专防专杀能力；通过内核级东西向流量隔离技术，实现网络隔离与防护、流量画像；拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。目前产品广泛应用在服务器、桌面PC、虚拟机、工控系统、国产操作系统、容器安全等各个场景。

安全tips

安全漏洞时有发生，安恒信息安全专家建议，不管是此次漏洞受影响的用户还是未受影响的用户，都立即安装相关的终端杀毒以及管理软件，并且进行定期的杀毒以及漏洞修复，养成“防患于未然”的好习惯，保护您的主机安全。

安恒信息安全团队也将7*24小时在线，提供专业、及时的应急响应。

本文转载自 安恒信息

推荐阅读：

• 等保2.0的落地和落实，监管、测评、运营部门可以这么干

• 英特尔芯片存在MDS漏洞，官方随后声明：已硬件修复

• 漏洞预警 | 微软 CVE-2019-0708 高危漏洞

• 编制人谈：等保2.0标准的“变”与“不变”

• 朝鲜网络间谍部署新恶意软件，用于收集蓝牙设备信息

• 伊朗成立特别工作组应对美国的网络威胁

▼点击“阅读原文” 查看更多精彩内容