漏洞简介

北京时间8月14日，微软发布了一套针对远程桌面服务的修复程序，其中包括两个关键的远程执行代码（RCE）漏洞CVE-2019-1181和CVE-2019-1182。与之前修复的“BlueKeep”漏洞（CVE-2019-0708）一样。

漏洞危害

要利用该漏洞需要攻击者通过RDP向目标系统远程桌面服务发送精心构造的请求，成功利用此漏洞的攻击者可以在目标系统上执行任意代码，然后攻击者可以安装程序、查看、更改或删除数据; 或创建具有完全用户权限的新帐户，极易被攻击者利用于传播蠕虫病毒。。

风险等级

奇安信安全监测与响应中心风险评级为：高危

预警等级：蓝色预警（一般事件）

漏洞编号

CVE-2019-1181/1182

影响范围

Windows10 for 32-bit Systems

Windows10 for x64-based Systems

Windows10 Version 1607 for 32-bit Systems

Windows10 Version 1607 for x64-based Systems

Windows10 Version 1703 for 32-bit Systems

Windows10 Version 1703 for x64-based Systems

Windows10 Version 1709 for 32-bit Systems

Windows10 Version 1709 for 64-based Systems

Windows10 Version 1709 for ARM64-based Systems

Windows10 Version 1803 for 32-bit Systems

Windows10 Version 1803 for ARM64-based Systems

Windows10 Version 1803 for x64-based Systems

Windows10 Version 1809 for 32-bit Systems

Windows10 Version 1809 for ARM64-based Systems

Windows10 Version 1809 for x64-based Systems

Windows10 Version 1903 for 32-bit Systems

Windows10 Version 1903 for ARM64-based Systems

Windows10 Version 1903 for x64-based Systems

Windows7 for 32-bit Systems Service Pack 1

Windows7 for x64-based Systems Service Pack 1

Windows8.1 for 32-bit systems

Windows8.1 for x64-based systems

WindowsRT 8.1

WindowsServer 2008 R2 for Itanium-Based Systems Service Pack 1

WindowsServer 2008 R2 for x64-based Systems Service Pack 1

WindowsServer 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

WindowsServer 2012

WindowsServer 2012 (Server Core installation)

WindowsServer 2012 R2

WindowsServer 2012 R2 (Server Core installation)

WindowsServer 2016

WindowsServer 2016 (Server Core installation)

WindowsServer 2019

WindowsServer 2019 (Server Core installation)

WindowsServer, version 1803 (Server Core Installation)

WindowsServer, version 1903 (Server Core installation)

不受影响版本

Windows XP

Windows Server 2003

Windows Server 2008

远程桌面协议（RDP）本身不受影响。

检测方法

用户可通过检测远程桌面是否开启来确认是否收到影响，如果开启远程桌面服务则可能受到影响。

以Windows7系统为例，右键我的电脑（计算机/此电脑）-属性-高级系统设置-远程，如已勾选“允许远程连接到此计算机”则证明已开启远程桌面连接服务，可能受到该漏洞影响。

1) 自动更新补丁

通过Windows 操作系统中的自动更新功能进行更新

(2) 手动下载补丁

到Windows补丁页找到对应的系统版本下载补丁安装

(3) 临时解决建议

a、禁用远程桌面服务

b、在防火墙中对远程桌面服务端口(3389)进行阻断

c、在开启了远程桌面服务的服务器上启用网络身份认证

关于卫达

北京卫达信息技术有限公司（简称“卫达安全”）是一家拥有自主知识产权的高精尖技术企业，总部位于北京，作为网络安全动态防御技术领航者，通过自主研发全球首创“智能动态防御”技术（AI Dynamic Defense或简称ADD），打破传统的纵深防御壁垒，打造颠覆性主动安全防御产品体系——幻氏家族、态势感知平台等，致力于通过科技创新力量来保卫网络安全。业务全面覆盖军队、军工、政府、能源、金融、医疗、通信、互联网、科研教育等行业并落地了众多标杆项目。卫达安全从2016年开始发起全球黑客挑战，赏金已提高至500万，至今依旧无人可以攻破，创造了动态防御神话。