Microsoft已经识别并修补了Windows远程桌面服务(RDS)组件(以前称为终端服务)中的多个漏洞,这些漏洞广泛用于企业环境中以远程管理Windows计算机。某些漏洞可以在没有身份验证的情况下被利用,以实现远程代码执行和完全系统损害,如果不加以修复,它们对企业网络来说非常危险。
Microsoft在RDS组件强化期间内部发现了所有缺陷,因此目前尚无公开漏洞利用。然而,微软研究员贾斯汀坎贝尔在Twitter上表示,他的团队“使用其中一些成功建立了一个完整的漏洞利用链,所以很可能其他人也会这样做。”
在一篇博客文章中,微软事件响应主管西蒙·波普警告说,有两个缺陷,可追溯到CVE-2019-1181和CVE-2019-1182 ,这些缺陷都是可信的。如果恶意软件进入公司网络,它可能会利用这些漏洞从计算机传播到计算机。
这两个漏洞会影响Windows 7 SP1,Windows Server 2008 R2 SP1,Windows Server 2012,Windows 8.1,Windows Server 2012 R2以及Windows 10的所有受支持版本。由于RDS是一种系统服务,因此成功利用将为攻击者提供必要的权限。安装程序; 读取和删除数据并创建新帐户。
微软还在周二修补了RDS中的另外两个远程代码执行漏洞,这些漏洞被追踪为CVE-2019-1222和CVE-2019-1226。这些缺陷仅影响Windows 10,Windows Server 2019和Windows Server版本1803的受支持版本,并且不需要进行身份验证。
该公司还修复了未经验证的拒绝服务漏洞(CVE-2019-1223)和两个内存泄露问题(CVE-2019-1224和CVE-2019-1225),使得此补丁星期二的RDS漏洞总数固定为七。
它始于BlueKeep
在5月发现并修补了可疑的RDS缺陷之后,微软对RDS以及新发现的问题进行了更深入的调查。跟踪为CVE-2019-0708,安全社区已知该漏洞,因为BlueKeep和公共漏洞可用于此。
上周,微软的检测和响应团队(DART)发出警告称BlueKeep很可能被利用。该团队当时根据其遥测结果表示,超过400,000个端点缺乏网络级别身份验证,这使得问题更加严重,并且可以使远程桌面协议(RDP)蠕虫轻松传播。
Microsoft建议网络级别身份验证(NLA)可以缓解BlueKeep和新修补的RDS漏洞,因为它会在尝试利用漏洞之前强制攻击者进行身份验证。但是,在实践中,有许多情况下攻击者可以获取合法凭据并绕过此保护,因此尽快部署这些漏洞的补丁是最佳解决方案。
根据SecurityScorecard的一份新报告,当BlueKeep于5月份问世时,大约有800,000台具有易受攻击的RDS服务的机器直接暴露在互联网上。该公司每天都在重新扫描这些机器,发现修补响应缓慢,每天修补约1%。
对于确实获得BlueKeep补丁的机器,大部分在宣布后的前13天内进行了更新。这意味着在大多数情况下,易受攻击的机器所有者要么在13天内修补系统,要么根本不修补系统。
根据SecurityScorecard的数据,一些行业表现优于其他行业。金融服务行业在修复程序发布后的一天内修补了最多的机器。许多其他金融机构在第11天修补了它们。总的来说,金融服务行业每天修补713台易受攻击的机器。
来自制造业和酒店业的组织每天修补约3%的机器,这一比例明显高于平均水平。然而,这些行业的易受攻击机器的数量开始时也只有很少,这表明良好的安全实践和网络架构。
“5到13天的响应时间相当可观。但是,SecurityScorecard建议远程桌面(RDP)不应该暴露在互联网上,“该公司在其报告中写道。“相反,它应该在防火墙和/或VPN之后。因此,这些计算机的真正修复方法是修复程序的组合:升级到更新的Windows版本,修补漏洞并阻止对这些计算机的Internet访问。