关于微软远程桌面服务远程代码执行漏洞（CVE-2019-0708）的预警

来源：网络安全与信息化办公室发布时间：2019-05-15浏览次数：531

2019年5月14日，微软紧急发布了针对远程桌面服务的远程执行代码漏洞CVE-2019-0708的修复程序，该漏洞影响了某些旧版本的Windows系统，比如Windows XP、Windows Server 2003、Windows 7、Windows Server 2008等。

一、漏洞情况

成功利用该漏洞可以在目标系统上执行任意代码，然后攻击者可以安装程序，查看、更改或删除数据，或创建具有完整用户权限的新帐户。此漏洞是预身份验证，无需用户交互，且影响范围广泛，从Windows XP到2008 R2。目前还没有公开的攻击代码，但不排除很快会有攻击者通过对比补丁分析构造攻击代码。

二、影响范围

Windows 7 for 32-bit SP1

Windows 7 for x64-based SP1

Windows Server 2008 for 32-bit SP2

Windows Server 2008 for 32-bit SP2 (Server Core installation)

Windows Server 2008 for Itanium-Based SP2

Windows Server 2008 for x64-based SP2

Windows Server 2008 for x64-based SP2 (Server Core installation)

Windows Server 2008 R2 for Itanium-BasedSystems SP1

Windows Server 2008 R2 for x64-based SP1

Windows Server 2008 R2 for x64-based SP1 (Server Core installation)

Windows XP SP3 x86

Windows XP SP2 x64

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 SP2 x64

三、修复建议

1.官方补丁

微软已经为该漏洞发布更新补丁（包括官方停止维护版本），请用户及时进行补丁更新。获得并安装补丁的方式有三种：内网WSUS服务、微软官网Microsoft Update服务、离线安装补丁。离线安装补丁下载地址如下：下载对应补丁安装包，双击运行即可进行修复。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

官方已停止维护版本漏洞补丁下载地址如下：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

2.临时解决方案

若暂不便安装补丁更新，可采取下列临时防护措施：

1、禁用远程桌面服务。

2、通过主机防火墙对远程桌面服务端口进行阻断（默认为TCP 3389）。

3、启用网络级认证（NLA），此方案适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。启用NLA后，攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证，然后才能利用此漏洞。