预警编号:NS-2019-0031

2019-08-14

TAG：远程桌面服务、远程代码执行、CVE-2019-1181、CVE-2019-1182

危害等级：高，此漏洞影响远程桌面服务，可被用于实现蠕虫攻击，请尽快安装更新补丁，修复此漏洞。 版本：1.0

1 漏洞描述

北京时间2019年8月14日，微软发布了一系列远程桌面服务修复方案及补丁，其中包含2个严重的远程代码执行漏洞CVE-2019-1181和 CVE-2019-1182。类似此前修复的“BlueKeep”漏洞 (CVE-2019-0708)，此次通告的漏洞具有蠕虫特性，攻击者不需要与用户交互，即可在目标系统上执行任意代码，传播蠕虫病毒。

本次安全更新通过更正远程桌面服务处理连接请求的方式来解决此漏洞，请用户尽快安装更新补丁，对此次通告漏洞进行修复。

参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

2 影响范围

受影响的版本

• Windows 7 SP1
• Windows 8.1
• Windows Server 2008 R2 SP1
• Windows Server 2012
• Windows Server 2012 R2和包括服务器版本在内的Windows 10

注：在Windows 7 Service Pack 1与Windows Server 2008 R2 Service Pack 1下，安装了RDP 8.0或RDP 8.1才会受到漏洞影响。

不受影响的版本

• Windows Sereer 2003
• Windows Server 2008
• Windows XP

3 解决建议

3.1 官方补丁

微软官方已经发布更新补丁，请用户及时进行补丁更新。获得并安装补丁的方式有三种：内网WSUS服务、微软官网Microsoft Update服务、离线安装补丁。

注：如果需要立即启动Windows Update更新，可以在命令提示符下键入wuauclt.exe /detectnow。

方式一：内网WSUS服务

适用对象：已加入搭建有WSUS服务器内网活动目录域的计算机，或手工设置了访问内网WSUS服务。

系统会定时自动下载所需的安全补丁并提示安装，请按提示进行安装和重启系统。

如果希望尽快安装补丁，请重新启动一次计算机即可。

方式二：微软官网Microsoft Update服务

适用对象：所有可以联网，不能使用内网WSUS服务的计算机，包括未启用内网WSUS服务的计算机、启用了内网WSUS服务但未与内网连接的计算机。

未启用内网WSUS服务的计算机，请确保Windows自动更新启用，按照提示安装补丁并重启计算机。

启用内网WSUS服务的计算机但没有与内网连接的计算机，请点击开始菜单-所有程序-Windows Update，点击“在线检查来自Windows Update的更新”，按提示进行操作。

方式三：离线安装补丁

下载对应的补丁安装包，双击运行即可进行修复，用户可到官方下载对应系统版本补丁。

链接如下：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

3.2 临时解决建议

若用户暂不方便安装补丁更新，可采取下列临时防护措施，对此漏洞进行防护。

1、 若用户不需要用到远程桌面服务，建议禁用该服务。

2、 在主机防火墙中对远程桌面TCP 端口(默认为 3389)进行阻断。

3、 启用网络级别身份认证(NLA)，此方案适用于Windows 7, Windows Server 2008及 Windows Server 2008 R2。