【漏洞预警】Windows 远程桌面服务RDP远程代码执行漏洞(CVE-2019-1181/1182)

【威胁通告】

• 微软远程桌面服务蠕虫漏洞 （CVE-2019-1181、CVE-2019-1182）
• 2019年8月13日，阿里云云盾应急响应中心监测到微软官方发布紧急安全补丁，修复了多个Windows远程桌面服务的远程代码执行漏洞(CVE-2019-1181/1182)，利用此漏洞可能可以在没有用户交互的情况下直接获取Windows服务器权限。

【漏洞描述】

• 微软官方公告称：CVE-2019-1181 和 CVE-2019-1182 这两个漏洞和之前的 BlueKeep（CVE-2019-0708）一样，属于“可蠕虫传播的”漏洞。类似于2017年爆发的WannaCry等恶意勒索软件病毒。
• 也是“蠕虫级”漏洞，也就是说利用这些漏洞的任意未来的恶意软件都能在无需用户交互的情况下从一台易受攻击的计算机传播到另外一台易受攻击的计算机中。

【漏洞评级】

• CVE-2019-1181 严重
• CVE-2019-1182 严重

【影响版本】

• Windows 7
• Windows 8
• Windows 10
• Windows Server 2008 R2
• Windows Server 2008
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2012 R2和所有受支持的包括服务器版本在内的Windows 10 版本

【不影响版本】

• Windows Sereer 2003
• Windows Server 2008
• Windows XP
• 以及远程桌面协议 (RDP) 本身并不受影响
• 这些漏洞是由微软在加固远程桌面服务时发现的，
• 目前尚未发现这些漏洞被第三方知晓的证据。

【补丁版本】

• KB4512489
• KB4512486

【补丁下载】（微软官方地址）

【安全建议】

注：微软官方描述开启NLA(网络级别身份验证)可能可以缓解此漏洞攻击，但还是强烈建议尽快安装安全补丁并重启；安装补丁修复方案可能存在不可预知风险(黑屏或死机)，建议修复前先备份数据/镜像/快照

【解决方案】

• 目前，官方已提供了漏洞的修复更新，请尽快在Microsoft安全更新指南页面下载并修复。
• 请通过下方相关链接进行下载。。
• 同时，作为缓解措施，建议在受影响的系统上启用网络级别身份验证（NLA）功能。因为NLA在触发漏洞之前需要进行身份验证。但是，如果攻击者具有可用于成功进行身份验证的有效凭据，则受影响的系统仍然容易受到远程代码执行（RCE）的攻击。

【相关链接】