一、漏洞预警

2019年10月，深信服安全团队监测到RDP远程代码执行（CVE-2019-0708、BlueKeep）漏洞利用活跃度骤增。该漏洞会让被攻击的机器失陷或蓝屏，导致业务中断造成巨大损失。近日，海外网络罪犯正在使用该漏洞来查找暴露在网络上的易受攻击的系统，并在其上释放挖矿程序，影响正常业务。

二、漏洞概要

三、漏洞分析

3.1 Remote Desktop Protocol组件介绍

Remote Desktop Protocol(远程桌面协议，RDP)是微软公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。

通常情况下，在企业中，RDP或者终端服务会话被配置在需要分布式客户端机器来连接的服务器上。它可以用于管理、远程访问或者发布用于中央使用的应用程序。该协议还常被桌面管理员来远程访问用户系统，以协助排除故障。如果RDP没有正确配置或存在漏洞，这种特定功能将会给企业带来威胁，因为未授权访问者将可以访问关键企业系统。

3.2漏洞描述

cve-2019-0708，属于远程代码执行漏洞，当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时，即可以触发该漏洞。此漏洞属于预身份验证，无需用户交互，成功利用此漏洞的攻击者可以安装应用程序，查看、更改或删除数据或创建具有完全用户权限的新账户。

恶意攻击者还很有可能利用该漏洞专门编写恶意代码到定制的恶意软件， 利用此漏洞的任何未来恶意软件都可能以与 2017年WannaCry恶意软件遍布全球的类似方式从易受攻击的计算机传播到易受攻击的计算机。 

四、漏洞活跃度分析

· 10月8日，cve-2019-0708漏洞利用活跃度骤增

于10月8日起，深信服安全团队监控到cve-2019-0708漏洞利用活跃度骤增，并呈现增长的趋势。

· 11月2日，cve-2019-0708漏洞利用持续升温

接着，安全研究员Kevin Beaumont声称他的EternalPot RDP蜜罐网络开始崩溃。

· 11月3日，国外发现利用cve-2019-0708漏洞利用的挖矿程序

安全研究员MalwareTech在Beaumont机器发现BlueKeep工作组件，并进一步发现Monero Miner挖矿程序。

· 11月3日，大规模cve-2019-0708漏洞利用已来临

安全研究员MalwareTech表示存在网络罪犯正在大规模使用cve-2019-0708扫描程序来查找暴露在网络上的易受攻击的系统，并在其上释放挖矿程序。

从10月8日开始，cve-2019-0708漏洞利用开始活跃，再到网络罪犯大规模利用该漏洞来挖矿，说明网络罪犯可能有成熟的利用代码。所以，若还没安装该漏洞补丁的用户需要警惕了，需尽快安装漏洞补丁。

五、解决方案

5.1产品解决方案

深信服云眼产品、云镜产品均具备检测能力。云眼在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全；云镜在漏洞爆发的第一时间就完成从云端下发本地检测更新，部署云镜的用户只需选择紧急漏洞检测，即可轻松、快速检测此高危风险。

5.2修复建议

1. 及时安装微软发布的安全更新补丁：

Microsoft官方已经在 2019年5月14日修复了该漏洞，用户可以通过安装微软的安全更新来给系统打上安全补丁，下载地址为：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

以及为已不受微软更新支持的系统Windows Server 2003和Windows XP提供的安全更新，下载地址:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

2. 缓解措施（在无法及时安装微软安全更新的情况下作为临时性解决方案）：

· 若用户不需要用到远程桌面服务，建议禁用该服务。

· 开启网络级别身份验证（NLA），此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2

· 修改RDP登录口令为强口令。

· 暂时性修改RDP的连接端口，默认端口为3389。

· 使用ACL对RDP的访问来源进行限制。

· 使用RDP网关，网关的功能是安全的将流量从远程客户端传递到本地设备。使用RDP网关可以防止或最小化远程用户访问，并使组织能够更好的控制用户角色，访问权限和身份验证需求。