远程桌面漏洞使Windows系统暴露于黑客攻击

Microsoft已经识别并修补了Windows远程桌面服务(RDS)组件(以前称为终端服务)中的多个漏洞，这些漏洞广泛用于企业环境中以远程管理Windows计算机。某些漏洞可以在没有身份验证的情况下被利用，以实现远程代码执行和完全系统损害，如果不加以修复，它们对企业网络来说非常危险。

Microsoft在RDS组件强化期间内部发现了所有缺陷，因此目前尚无公开漏洞利用。然而，微软研究员贾斯汀坎贝尔在Twitter上表示，他的团队“使用其中一些成功建立了一个完整的漏洞利用链，所以很可能其他人也会这样做。”

在一篇博客文章中，微软事件响应主管西蒙·波普警告说，有两个缺陷，可追溯到CVE-2019-1181和CVE-2019-1182 ，这些缺陷都是可信的。如果恶意软件进入公司网络，它可能会利用这些漏洞从计算机传播到计算机。

这两个漏洞会影响Windows 7 SP1，Windows Server 2008 R2 SP1，Windows Server 2012，Windows 8.1，Windows Server 2012 R2以及Windows 10的所有受支持版本。由于RDS是一种系统服务，因此成功利用将为攻击者提供必要的权限。安装程序; 读取和删除数据并创建新帐户。

微软还在周二修补了RDS中的另外两个远程代码执行漏洞，这些漏洞被追踪为CVE-2019-1222和CVE-2019-1226。这些缺陷仅影响Windows 10，Windows Server 2019和Windows Server版本1803的受支持版本，并且不需要进行身份验证。

该公司还修复了未经验证的拒绝服务漏洞(CVE-2019-1223)和两个内存泄露问题(CVE-2019-1224和CVE-2019-1225)，使得此补丁星期二的RDS漏洞总数固定为七。

它始于BlueKeep

在5月发现并修补了可疑的RDS缺陷之后，微软对RDS以及新发现的问题进行了更深入的调查。跟踪为CVE-2019-0708，安全社区已知该漏洞，因为BlueKeep和公共漏洞可用于此。

上周，微软的检测和响应团队(DART)发出警告称BlueKeep很可能被利用。该团队当时根据其遥测结果表示，超过400,000个端点缺乏网络级别身份验证，这使得问题更加严重，并且可以使远程桌面协议(RDP)蠕虫轻松传播。

Microsoft建议网络级别身份验证(NLA)可以缓解BlueKeep和新修补的RDS漏洞，因为它会在尝试利用漏洞之前强制攻击者进行身份验证。但是，在实践中，有许多情况下攻击者可以获取合法凭据并绕过此保护，因此尽快部署这些漏洞的补丁是最佳解决方案。

根据SecurityScorecard的一份新报告，当BlueKeep于5月份问世时，大约有800,000台具有易受攻击的RDS服务的机器直接暴露在互联网上。该公司每天都在重新扫描这些机器，发现修补响应缓慢，每天修补约1%。

对于确实获得BlueKeep补丁的机器，大部分在宣布后的前13天内进行了更新。这意味着在大多数情况下，易受攻击的机器所有者要么在13天内修补系统，要么根本不修补系统。

根据SecurityScorecard的数据，一些行业表现优于其他行业。金融服务行业在修复程序发布后的一天内修补了最多的机器。许多其他金融机构在第11天修补了它们。总的来说，金融服务行业每天修补713台易受攻击的机器。

来自制造业和酒店业的组织每天修补约3%的机器，这一比例明显高于平均水平。然而，这些行业的易受攻击机器的数量开始时也只有很少，这表明良好的安全实践和网络架构。

“5到13天的响应时间相当可观。但是，SecurityScorecard建议远程桌面(RDP)不应该暴露在互联网上，“该公司在其报告中写道。“相反，它应该在防火墙和/或VPN之后。因此，这些计算机的真正修复方法是修复程序的组合：升级到更新的Windows版本，修补漏洞并阻止对这些计算机的Internet访问