Microsoft已針對其遠端桌面服務中的漏洞釋出了一個補丁,該漏洞可
透過RDP遠端利用,無需身份驗證並用於執行任意程式碼
:
遠端桌面服務(以前稱為終端服務)中存在遠端執行程式碼漏洞,當未經身份驗證的攻擊者使用RDP連線到目標系統併發送特製請求時。此漏洞是預身份驗證,無需使用者互動。成功利用此漏洞的攻擊者可以在目標系統上執行任意程式碼。然後攻擊者可以安裝程式; 檢視,更改或刪除資料; 或建立具有完全使用者許可權的新帳戶。
沒有比這更糟糕的事情了。
修補程式包含在Windows 7和Windows 2008更新列表中(可登入微軟安全指南更新檢視參閱完整列表的建議)。修補程式也可用於Windows XP和Windows 2003的版本(有關完整列表,可登入微軟安全指南更新檢視參)。有關本月週二補丁的所有細節,包括其他一些關鍵的修復,請閱讀SophosLabs週二對5月補丁的分析。
該缺陷被認為是“蠕蟲攻擊”,這意味著它有可能被用於惡意軟體,這些惡意軟體在網路之間透過網路傳播。
世界上有數百萬的計算機網路將RDP暴露在外部網路中,這樣不僅可以透過本地網路管理它們,還可以透過Internet管理它們。有時,外部訪問是故意啟用的;雖然暴露在公網之中是錯誤的但無論哪種情況,一個可以從外部訪問RDP的網路都是很容易受到攻擊的。
鑑於目標的數量以及爆發性,指數性擴散的可能性,我們建議您重視它,如果補丁是逆向工程並且建立了漏洞,那麼你應該立即更新。有關更多指導,請檢視本文末尾的[1]
微軟還為Windows XP和Windows 2003釋出了更新補丁的特殊步驟。
考慮到對客戶及其業務的潛在影響,我們決定為不再支援主流的平臺提供安全更新……我們建議執行這些作業系統之一的客戶儘快下載並安裝更新。
自Windows XP和2003年壽終正遠以來的五年裡,微軟針對其作業系統家族中一些關鍵問題釋出了不計其數的補丁,而這些問題並沒有移植到其已退役的產品上。只有四次打破規則,包括這次,最明顯的一次是在2017年的“WannaCry”爆發期間。
WannaCry是一種勒索蠕蟲軟體,它透過利用微軟SMB軟體版本中的缺陷,在一天內傳播到世界各地。儘管上個月已經發布了該軟體和補丁,但蠕蟲還是很容易找到成千上萬的Windows系統進行感染。
似乎是為了證明我們沒有吸取補丁重要性的教訓,WannaCry在一個多月後又被NotPetya跟蹤,這是另一起使用相同漏洞的全球勒索軟體爆發。
該怎麼辦?
一定記得要打補丁。
如果,由於某些原因,你不能立即更新補丁,微軟提供了以下解決方案:
啟用網路級身份驗證(NLA)。這迫使使用者在RDP暴露給攻擊者之前進行身份驗證。並非所有受影響的系統都支援NLA。
關掉RDP。如果RDP不執行,則無法利用該漏洞。很明顯,有些組織沒有RDP就無法工作,有些組織在執行RDP時沒有意識到這一點。
禁用TCP埠3389。在外圍禁用埠3389(以及分配給RDP的其他埠)將阻止攻擊進入您的網路,但無法阻止攻擊從您的網路內部發起。
by Mark Stockley
翻譯整理自:nakedsecurity
[1]https://nakedsecurity。sophos。com/2019/05/15/update-now-critical-remote-wormable-windows-vulnerability/#what-to-do
