远程桌面漏洞使Windows系统暴露给黑客

文章插图
微软已经发现并修复了Windows远程桌面服务(RDS)组件(以前称为终端服务)中的几个漏洞，这些组件广泛用于企业环境中，以远程管理Windows计算机。一些漏洞可以在没有身份验证的情况下被利用，以实现远程代码执行和完全的系统损坏。如果不固定，对企业网络非常危险。
【远程桌面漏洞使Windows系统暴露给黑客】微软在RDS组件增强过程中内部发现了所有缺陷，因此目前没有开放的漏洞利用。然而，微软研究员贾斯汀坎贝尔(JustinCampbell)在推特上表示，他的团队“成功地使用其中一些构建了一个完整的漏洞利用链，因此其他人很可能也会这样做。”
微软事件响应总监西蒙波普(SimonPopper)在一篇博文中警告说，有两个缺陷，可以追溯到CVE-2019-1181和CVE-2019-1182，这些缺陷是可信的。如果恶意软件进入公司网络，它可能会利用这些漏洞在计算机之间传播。
这两个漏洞将影响Windows7 SP1、WindowsServer2008 R2 SP1、WindowsServer2012、Windows8.1、WindowsServer2012 R2和Windows10的所有受支持版本。由于RDS是一种系统服务，成功利用该漏洞将为攻击者提供必要的权限。安装程序；读取和删除数据并创建新帐户。
微软还在周二修复了RDS中的另外两个远程代码执行漏洞，这两个漏洞被追踪为CVE-2019-1222和CVE-2019-1226 。这些缺陷只影响支持的Windows10、WindowsServer2019和WindowsServer1803版本，不需要身份验证。
该公司还修复了未经验证的拒绝服务漏洞(CVE-2019-1223)和两个内存泄漏(CVE-2019-1224和CVE-2019-1225)，因此周二该补丁中的RDS漏洞总数被修复为7个。
它始于BlueKeep 。
在5月份发现并修复了可疑的RDS缺陷后，微软对RDS和新发现的问题进行了更深入的调查。追溯到CVE-2019-0708，安全社区知道此漏洞，因为此处可以使用BlueKeep和公共漏洞。
上周，微软的测试和响应团队(DART)警告说，BlueKeep可能会被使用。当时，根据其遥测结果，该团队表示，超过40万个端点缺乏网络级身份验证，这使得问题更加严重，并使远程桌面协议(RDP)蠕虫易于传播。
建议微软网络级身份验证(NLA)可以缓解BlueKeep和新修补的RDS漏洞，因为它将强制攻击者在尝试利用漏洞之前进行身份验证。但是，在实践中，攻击者可以获得合法凭据并绕过这种保护的情况很多，因此尽快为这些漏洞部署补丁是最好的解决方案。
根据SecurityScorecard的一份新报告，当BlueKeep在5月份问世时，大约有80万台带有易受攻击的RDS服务的机器直接暴露在互联网上。公司每天重新扫描这些机器，发现修复反应慢，每天大约有1%的机器被修复。
大多数获得BlueKeep补丁的机器都是在发布后的前13天内更新的。这意味着在大多数情况下，易受攻击的机器所有者要么在13天内修复系统，要么根本不修复系统。
根据SecurityScorecard的数据，一些行业的表现优于其他行业。金融服务行业在修复计划发布后的一天内修复了最多的机器。许多其他金融机构在第11天修复了它们。总的来说，金融服务行业每天要维修713台易受攻击的机器。
来自制造业和酒店业的组织每天修理大约3%的机器，这明显高于平均水平。然而，这些行业中易受攻击的机器数量在开始时非常少，这表明良好的安全实践和网络架构。
“5到13天的响应时间相当可观。然而，SecurityScorecard建议远程桌面(RDP)不要暴露在互联网上，”该公司在报告中写道。“相反，它应该在防火墙和/或VPN的后面。因此，这些计算机真正的修复方法是修复程序的组合：升级到更新版本的Windows，修复漏洞并阻止这些计算机的互联网访问。