Windows远程桌面服务存在高危漏洞

8月教育网运行正常,未发现影响严重的安全事件。近期教育网范围内相应的安全投诉事件数量继续呈下降趋势,这主要得益于各学校对安全工作的高度重视。

近期没有新增特别需要关注的病毒和木马程序。针对5月爆出的Pulse Secure VPN的任意文件读取漏洞(CVE-2019-11539)的扫描攻击数量有增加趋势,攻击者可以利用该漏洞访问系统的私钥和用户口令,这些非法获取的信息可以进一步导致任意代码注入攻击。Pulse Secure VPN在高校的用户数量较多,建议使用了该VPN的学校管理员尽快检查是否已经更新到了最新版本,避免漏洞被非法利用。

近期新增严重漏洞评述

微软8月的例行安全公告修复了其多款产品存在的396个安全漏洞。

漏洞涉及Windows系统 、Windows DHCP服务、Office软件、Windows图形组件、Jet 数据库等Windows平台下的应用软件和组件。

公告中需要特别关注的是Windows远程桌面服务中存在的四个高危漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226)。未经身份验证的攻击者利用上述漏洞,向目标Windows主机发送恶意构造请求,可以在目标系统上执行任意代码。由于这些漏洞存在于RDP协议的预身份验证阶段,其利用过程无需进行用户交互操作,可被利用来进行大规模的蠕虫攻击。

目前漏洞的细节还未公布,相应的利用代码也还未出现,不过随着补丁的发布(通过对补丁的反编译可知道漏洞细节),漏洞的攻击代码很快就会出现。类似的远程桌面漏洞(CVE-2019-0708)在5月的补丁中也出现过,目前该漏洞相关的攻击代码已经在网络上出现了多个版本。基于上述漏洞的风险,建议用户尽快使用Windows系统的自动更新功能进行安全更新。

图源:网络

最近Fortinet公司发布了FortiOS的版本更新,用于修补之前版本中存在的多个安全漏洞。

漏洞包括:跨站脚本漏洞(CVE-2018-13380),路径遍历漏洞(CVE-2018-13379)等,利用这些漏洞攻击者可在未经授权的情况下获取相关设备的账号信息、进行修改账号密码等操作,进而完全控制相关设备。

这些漏洞影响FortiOS多个版本(包括 5.6.3版本至5.6.7版本、6.0.0版本至6.0.4版本等)。

Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。FortiGate安全设备在高校中的使用范围较广,建议使用了相关设备的管理员尽快联系厂商的工程师对设备的操作系统进行升级,防止漏洞被非法利用。

Adobe公司8月发布了Adobee Acrobat/Reader软件的版本更新,用于修补之前版本中的多个安全漏洞。

这些漏洞可能导致任意代码执行或是敏感信息泄漏。由于PDF软件的漏洞是APT攻击最常使用的漏洞,建议用户尽快升级到最新版本,并谨慎打开那些来历不明的PDF文档。

Cisco Small Business 220系列智能交换机的Web管理界面存在三个高危漏洞。

分别是身份验证绕过漏洞(CVE-2019-1912,评级为致命,评分为9.1)、远程命令执行漏洞(CVE-2019-1913,评级为致命,评分为9.8)和命令注入漏洞(CVE-2019-1914,评级为中等,评分为7.2)。身份绕过漏洞允许攻击者绕过验证将文件上传到系统中,攻击者可以借此替换配置文件或者上传Webshell进而控制交换机。而远程命令执行漏洞则允许攻击者直接以root身份在系统中执行任意命令。

目前思科公司已经在最新的固件版本中修复了这些漏洞,使用相关交换机的用户应该尽快进行固件更新。如果暂时无法更新固件,可通过关闭交换机的Web管理服务来降低漏洞带来的风险。

Tips

安全提示

由于近期Windows远程桌面服务的漏洞频出,建议学校的网络管理员做如下操作:

1. 在网络边界对Windows远程桌面的服务端口 TCP 3389进行阻断。

2. 要求Windows服务器的管理员及时安装系统补丁程序。

3. 如果条件允许,使用其他远程服务替代Windows自带的RDP服务,比如VNC。

4. 对于必须开放的Windows远程桌面服务,建议修改默认服务端口,并使用防火墙限制访问服务的来源IP。

(本文作者:郑先伟,单位为中国教育和科研计算机网应急响应组,全文刊载于《中国教育网络》杂志2019年9月刊)

(0)

相关推荐