（Microsoft Security Response Center）

1、漏洞概述

2019年8月13日，微软发布了一套针对远程桌面服务的修复程序，其中包括两个关键的远程执行代码（RCE）漏洞，  CVE-2019-1181和CVE-2019-1182。与之前修复的“BlueKeep”漏洞（CVE-2019-0708）一样，这两个漏洞也是“可疑的”，也就是说利用这些漏洞的任意恶意软件都能在无需用户交互的情况下从一台易受攻击的计算机传播到另外一台易受攻击的计算机中。

此漏洞下的恶意病毒的传播方式之前席卷全球的WannaCry恶意软件的传播方式类似。文档名称：微软远程桌面服务远程代码执行漏洞（CVE-2019-1181/1182）安全预警通告关键字：CVE-2019-1181、CVE-2019-1182、微软远程桌面服务

2、漏洞危害

公网开放RDP服务的主机数量巨大，影响面极大。

危险等级： 严重，请用户尽快升级更新。

3、影响版本

该漏洞主要影响Windows主流操作系统 ，Windows XP、Windows Server 2003和Windows Server 2008不受影响，远程桌面协议(RDP)本身也不受影响。受影响版本：Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for 64-based Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)
Windows Server, version 1903 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)

以下版本并不受影响：

● Windows XP

● Windows Sereer 2003

● Windows Server 2008

4、修复建议

1.微软已经发布了漏洞补丁，请用户尽快升级，官方补丁地址：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

2.临时缓解措施：

在启用了网络级别身份验证（NLA）的受影响系统上进行部分缓解。受影响的系统可以缓解可能利用此漏洞的“可疑”恶意软件或高级恶意软件威胁，因为NLA在触发漏洞之前需要进行身份验证。

但是，如果攻击者具有可用于成功进行身份验证的有效凭据，则受影响的系统仍然容易受到远程执行代码执行（RCE）的攻击。

3.在企业边界防火墙处阻止TCP端口3389

条件允许的情况下在防火墙内阻断3389（RDP服务）端口，禁止暴露在外网上。TCP端口3389用于启动与受影响组件的连接。

在网络边界防火墙处阻止此端口将有助于防止位于防火墙后面的系统尝试利用此漏洞。这有助于防止网络遭受来自企业边界之外的攻击。在企业边界阻止受影响的端口是帮助避免基于Internet的攻击的最佳防御措施。