腾讯安全紧急预警 | Windows爆发高危风险漏洞，或致严重蠕虫攻击堪比WannaCry

腾讯电脑管家

近日，腾讯安全监测到微软应急响应中心近日披露了Windows Server 2003, Windows Server 2008 R2 及 Windows Server 2008 的操作系统版本上存在的一个高危安全风险（漏洞编号：CVE-2019-0708），攻击者可利用该漏洞进行类似Wannacry的蠕虫利用攻击，影响大量服务器。

针对该漏洞，腾讯云安全率先发布紧急安全预警（https://cloud.tencent.com/announce/detail/582），为避免用户业务受影响，云鼎实验室建议用户及时开展安全自查，如在受影响范围，请用户及时进行更新修复，避免被外部攻击者入侵。同时建议云上租户开通「安全运营中心」-安全情报，及时获取最新漏洞情报、修复方案及数据泄露情况，感知云上资产风险态势。腾讯云官方已第一时间进行了全网镜像修复，用户新购买的机器不受影响，同时云服务市场提供的镜像目前已开展自查和安全审核，针对未修复的镜像将不允许上架，用户可放心使用。

目前微软官方、腾讯电脑管家及御点终端安全管理系统都已经发布修复补丁，请广大使用Windows XP、Windows Server 2003、Windows 7、Windows Server 2008及2008 R2系统的用户尽快安装补丁、修复漏洞。

据称该漏洞若未及时修复并被黑客利用，有可能导致严重的蠕虫病毒攻击，威力堪比两年前席卷全球的WannaCry病毒，请大家提高警惕。

针对非管家用户，腾讯电脑管家已率先发布漏洞检测修复工具，使用Windows XP、Windows Server 2003、Windows 7、Windows Server 2008及2008 R2系统的用户可点击链接http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/rdsvulfix_v1.exe下载使用，可自动检测电脑安全状态，一旦发现电脑存在该RDS漏洞会立刻启动修复，保障广大用户电脑安全。

漏洞详情

5月15日凌晨，微软官方紧急发布安全补丁，修复了Windows远程桌面服务的远程代码执行漏洞（CVE-2019-0708）。

该漏洞是预身份验证且无需用户交互，因此可通过网络蠕虫的方式被利用，这也就意味着利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机，其方式与2017年WannaCry恶意软件的传播方式类似。

影响范围

该漏洞影响了某些旧版本的Windows系统，详情如下：

* Windows 7

* Windows Server 2008 R2

* Windows Server 2008

* Windows 2003

* Windows XP

特别提醒

该漏洞影响Windows XP和Windows 2003这样已经超期服役的系统，微软官方已停止对WinXP、Win 2003的技术支持，这些操作系统的用户往往是工业企业、政府机构、科研机构等内外网隔离的系统。一旦攻击者通过某些渠道入侵这些系统，可能导致无法控制的结果。

因为CVE-2019-0708高度危险，微软今天也特别为WindowsXP和Windows 2003的用户单独提供了补丁程序。

需要注意的是： Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

漏洞参考

[1]官方通告：

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

[2]社区参考：

https://www.theverge.com/2019/5/14/18623565/microsoft-windows-xp-remote-desktop-services-worm-security-patches

[3]腾讯云安全预警：

https://cloud.tencent.com/announce/detail/582

腾讯安全建议

针对使用到Windows XP/7/Server 2008/ Server 2008 R2的用户，修复建议如下：

1.及时安装修复补丁

使用Windows 7及Windows Server 2008的用户，请及时安装Windows发布的安全更新。可在Microsoft安全 更新指南中找到支持Windows版本的安全更新进行下载,也可使用腾讯电脑管家或腾讯御点终端安全管理系统的漏洞修复功能进行修复。

官方已发布安全更新修复该漏洞，你可以通过如下链接进行下载：
Windows 7 及Server 2008/Server 2008 R2 用户：
   https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
   Windows XP 及Server 2003 用户：
  https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

2.将系统升级到最新版本

使用Windows 2003及Windows XP的用户，请及时更新到最新系统版本。微软在KB4500705中为这些不支持的Windows版本提供了修复程序。

3.开启网络身份验证(NLA)

因为NLA要求的身份验证在漏洞触发点之前，所以受影响的系统可以利用NLA防御此漏洞的“蠕虫”恶意软件或高级恶意软件威胁。但是，如果攻击者具有可用于成功进行身份验证的有效凭据，则受影响的系统仍然容易受到远程执行代码执行(RCE) 的攻击。

4、开启云安全组限制3389端口访问

腾讯云用户可配置安全组开展临时防护，设置安全组不允许外网IP访问或只允许固定IP访问3389端口，避免被漏洞程序或进程恶意利用。

5.无法安装补丁或不使用远程桌面服务的用户

可以采用更加简单粗暴的解决办法：禁用远程桌面服务，开始->运行，输入"services.msc“，回车，在服务列表中找到”RemoteDesktop Services“，直接禁用就好。