2019年5月15日，微软官方发布安全更新修复了远程桌面服务一个严重的远程代码执行漏洞（漏洞编号CVE-2019-0708），该漏洞影响严重，可导致远程代码执行甚至实现蠕虫式攻击。

2019年9月7日，金山云安全应急响应中心监控到该漏洞相关的EXP代码已被公开发布至Metasploit-framework的Pull requests中，经测试可以直接利用进行远程代码执行。

漏洞编号:

CVE-2019-0708

漏洞名称:

Windows远程桌面服务远程代码执行漏洞

漏洞危害等级:

严重

漏洞描述:

2019年5月15日，微软官方发布安全更新修复了远程桌面服务一个严重的远程代码执行漏洞（漏洞编号CVE-2019-0708），利用该漏洞，未经身份验证的远程攻击者可通过RDP协议向目标发送恶意构造请求，实现远程代码执行；甚至可以利用此漏洞实现蠕虫式攻击，感染其他易受攻击的计算机，其传播方式与2017年的WannaCry恶意软件类似。

2019年5月31日，已发现公开渠道发布了相关PoC代码，可被用于攻击导致目标系统蓝屏。

2019年9月7日，该漏洞相关的EXP代码已被公开发布至Metasploit-framework的Pull requests中，经测试可以直接利用进行远程代码执行。这意味着攻击门槛进一步降低，漏洞威胁全面升级，强烈建议用户立即安装相关版本的补丁或采取其他应急措施以避免受到相关的威胁。

影响版本:

Windows XP

Windows 2003

Windows 7

Windows Server 2008

Windows Server 2008 R2

Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

修复方案：

1、微软官方已经发布更新补丁（包括官方停止维护版本），请用户及时进行补丁更新。

Windows xp、Windows 2003：

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

Windows7、Windows 2008、Windows 2008R2：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

2、因特殊原因无法安装补丁，可采取以下应急措施：

1）情况允许的条件下，直接禁用远程桌面服务；

2）通过防火墙配置，阻断对远程桌面服务进行的连接或配置白名单限制IP连接。

3）启动网络级别身份验证（NLA），提升安全级别，适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。

参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/?from=timeline

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732713(v=ws.11)

北京金山云网络技术有限公司

2019/09/07