中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

RDP遠程漏洞被發現野外利用來挖礦的示例分析

發布時間:2021-12-22 21:39:39 來源:億速云 閱讀:155 作者:柒染 欄目:網絡安全

本篇文章為大家展示了RDP遠程漏洞被發現野外利用來挖礦的示例分析,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。

文檔信息

編號QiAnXinTI-SV-2019-0006
關鍵字RDP CVE-2019-0708
發布日期2019年05月15日
更新日期2019年11月02日
TLPWHITE
分析團隊奇安信病毒響應中心

通告概述

2019年05月15日,微軟公布了5月的補丁更新列表,在其中存在一個被標記為嚴重的RDP(遠程桌面服務)遠程代碼執行漏洞,攻擊者可以利用此漏洞遠程無需用戶驗證通過發送構造特殊的惡意數據在目標系統上執行惡意代碼,從而獲取機器的完全控制。此漏洞主要影響的設備為Windows 7、Window Server 2008以及微軟已不再支持的Windows 2003、Window XP操作系統,涉及系統在國內依然有大量的使用,所以此漏洞的影響面巨大,到2019年9月7日,奇安信全球鷹系統評估互聯網上國內可被直接攻擊的受影響RDP服務器還有10萬量級。由于漏洞利用無需用戶交互的特性結合巨大的影響面,意味著該漏洞極有可能被蠕蟲所利用,如果漏洞利用穩定有可能導致類似WannaCry蠕蟲泛濫的情況發生。

奇安信息威脅情報中心紅雨滴團隊第一時間跟進該漏洞并保持關注,目前已經確認利用此漏洞可以至少非常穩定地觸發受影響系統藍屏崩潰從而導致拒絕服務,到5月31日已有公開渠道發布可以導致系統藍屏崩潰的POC代碼出現,有企圖的攻擊者可以利用此POC工具對大量存在漏洞的系統執行遠程拒絕服務攻擊。至2019年9月7日,已有可導致遠程代碼執行的Metasploit模塊公開發布,隨著相關技術的擴散,已經構成了蠕蟲級的現實安全威脅。2019年11月2日,有研究人員發現利用此漏洞的野外攻擊。

相關廠商微軟針對此漏洞已經發布了安全補丁(包括那些已經不再提供技術支持的老舊操作系統),強烈建議用戶立即安裝相應的補丁或其他緩解措施以避免受到相關的威脅。

漏洞概要

RDP遠程漏洞被發現野外利用來挖礦的示例分析

漏洞描述

漏洞存在Windows的Remote Desktop Services(遠程桌面服務)中,技術細節已知但在此不再詳述,對于漏洞的利用無需用戶驗證,通過構造惡意請求即可觸發導致任意指令執行,系統受到非授權控制。

影響面評估

此漏洞影響Windows 7、Window Server 2008以及微軟已不再支持的Windows 2003、Window XP操作系統,目前通過技術評估,還存在大量未安裝補丁的RDP服務在線,影響面巨大。而且,至2019年9月7日已有公開渠道發布可導致遠程命令執行的漏洞利用Metasploit模塊發布,形成非常明確急迫的蠕蟲級現實威脅,目前國內還有大量未修復漏洞的系統存在,需要引起高度重視。

漏洞相關事件時間線

奇安信威脅情報中心總結了從微軟進行漏洞通告到發現利用此漏洞的野外攻擊的時間線如下:

1. 2019年5月14日

微軟發布遠程桌面服務代碼執行漏洞CVE-2019-0708的安全通告及相應補丁,并特別針對此漏洞發布了專門的說明,提示這是一個可能導致蠕蟲泛濫的嚴重漏洞。

2. 2019年5月15日

奇安信威脅情報中心發布漏洞預警及處置方案,隨后奇安信安全產品線發布漏洞檢測修復工具。

3. 2019年5月22日

奇安信紅雨滴團隊發布非破壞性漏洞掃描工具并更新至奇安信漏洞檢測修復工具中。

4. 2019年5月23日

互聯網公開渠道出現具有非破壞性漏洞掃描功能的POC程序。

5. 2019年5月25日

黑客開始大規模掃描存在漏洞的設備。

6. 2019年5月30日

微軟再次發布對于CVE-2019-0708漏洞做修補的提醒,基于漏洞的嚴重性強烈建議用戶盡快升級修復。

7. 2019年5月31日

互聯網公開渠道出現能導致藍屏的POC代碼,奇安信威脅情報中心紅雨滴團隊已經確認了POC代碼的可用性,漏洞相關的現實威脅進一步升級。 

RDP遠程漏洞被發現野外利用來挖礦的示例分析

結合目前已經有黑客進行大規模掃描存在漏洞設備并進行收集的情況,很有可能導致現實中存在漏洞的主機被批量進行漏洞攻擊而導致大規模拒絕服務,奇安信威脅情報中心提醒務必對資產進行檢查,并修補設備的漏洞。

8. 2019年7月31日

商業漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模塊。

9. 2019年9月7日

已有公開渠道的Metasploit CVE-2019-0708漏洞利用模塊發布,攻擊模塊的可用性已經得到驗證,當前已構成現實的蠕蟲威脅。

10. 2019年11月2日

野外發現利用CVE-2019-0708漏洞的現實攻擊,Payload為挖礦程序。

處置建議

修復方法

1. 目前軟件廠商微軟已經發布了漏洞相應的補丁,奇安信威脅情報中心建議進行相關升級

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC

       Windows XP 及Windows 2003可以在以下鏈接下載補丁:

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

2. 奇安信公司推出了針對性的“CVE-2019-0708”漏洞檢測修復工具1.0.0.1004版:

https://www.qianxin.com/other/CVE-2019-0708

奇安信公司的安全產品:天擎終端安全管理系統、天堤防火墻、天眼高級威脅檢測系統、SOC及態勢感知系統都已經支持對于此漏洞利用的檢測和防護及相關惡意代碼的查殺。

臨時解決方案

1. 如暫時無法更新補丁,可以通過在系統上啟用網絡及身份認證(NLA)以暫時規避該漏洞影響。

2. 在企業外圍防火墻阻斷TCP端口3389的連接,或對相關服務器做訪問來源過濾,只允許可信IP連接。

3. 如無明確的需求,可禁用遠程桌面服務。

上述內容就是RDP遠程漏洞被發現野外利用來挖礦的示例分析,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

rdp
AI

吐鲁番市| 灵丘县| 蓬莱市| 东阿县| 洱源县| 太仆寺旗| 富裕县| 武安市| 望都县| 承德市| 丹凤县| 怀柔区| 永仁县| 巨鹿县| 周至县| 通渭县| 宁南县| 井冈山市| 临猗县| 化德县| 河北区| 淳化县| 西丰县| 布拖县| 金门县| 甘谷县| 海丰县| 改则县| 安福县| 枝江市| 商南县| 哈巴河县| 霍邱县| 平度市| 襄樊市| 藁城市| 桐庐县| 灌阳县| 合江县| 陆丰市| 韩城市|