关于Microsoft远程桌面服务存在远程代码执行漏洞的安全公告（第二版）

安全公告编号:CNTA-2019-0030

2019年5月15日，国家信息安全漏洞共享平台（CNVD）收录了Microsoft远程桌面服务远程代码执行漏洞（CNVD-2019-14264，对应CVE-2019-0708）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。近日，漏洞利用代码（EXP）已公开，引起了安全研究人员的广泛关注，微软公司官方补丁已发布。

一、漏洞情况分析

Microsoft Windows是美国微软公司发布的视窗操作系统。远程桌面连接是微软从Windows 2000 Server开始提供的功能组件。

2019年5月14日，微软发布了月度安全更新补丁，修复了远程桌面协议（RDP）远程代码执行漏洞。未经身份验证的攻击者利用该漏洞，向目标 Windows主机发送恶意构造请求，可以在目标系统上执行任意代码。由于该漏洞存在于RDP协议的预身份验证阶段，因此漏洞利用无需进行用户交互操作，存在被不法分子利用进行蠕虫攻击的可能。

近日，Metasploit发布了该漏洞的利用模块，GitHub网站上也公开了该漏洞的利用代码，引起了安全研究人员的广泛关注，存在被不法分子利用进行蠕虫传播的可能。根据奇安信CERT团队报送和CNVD秘书处验证结果显示，该漏洞利用仅对Windows 7 SP1 x64与Windows 2008 R2 x64（非系统默认配置）系统版本有效，在虚拟机环境下复现成功。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems ServicePack 1

Windows Server 2008 for 32-bit SystemsService Pack 2

Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-BasedSystems Service Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1

Windows Server 2008 R2 for x64-basedSystems Service Pack 1

Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP SP2 x64

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 SP2 x64

CNVD秘书处组织技术支撑单位对RDP服务在全球范围内的分布情况进行分析，结果显示该服务的全球用户规模约为939.0万，其中位于我国境内的用户规模约为193.0万。6月25日，CNVD秘书处对我国大陆地区开展漏洞影响情况普查工作，结果显示我国大陆地区共有349322台主机（IP）受此漏洞影响。

今日（9月7日）复测结果显示，我国大陆仍然有204105台主机未修复漏洞，修复率为41.6%，各省市数量分布情况如表1所示。我平台已将结果数据与CNCERT各省分中心进行了及时共享。

表1：我国大陆地区各省漏洞存活IP数量分布情况

省份	数量	省份	数量
广东	54239	云南	804
四川	37886	湖南	744
上海	31355	湖北	626
其他	15989	陕西	610
北京	15330	贵州	479
重庆	9546	江西	427
天津	9034	广西	344
台湾	5869	黑龙江	315
浙江	5195	新疆	296
江苏	3971	甘肃	285
内蒙古	2651	吉林	277
山东	1608	宁夏	248
河南	1532	山西	214
福建	1204	海南	105
安徽	1048	青海	71
辽宁	938	西藏	22
河北	843