1 漏洞概况

江民赤豹安全实验室追踪到一组Windows高危漏洞，建议用户及时进行补丁更新。微软于2019年8月13日发布的最新安全补丁中，有一组用于远程桌面服务的修补程序，其中包含了两个高危的远程代码执行漏洞：CVE-2019-1181、CVE-2019-1182。就像之前修复的BlueKeep漏洞（CVE-2019-0708），这两个漏洞也是预身份验证且无需用户交互的，这意味着将来利用这些漏洞的恶意软件可以在没有任何用户交互的情况下进行蠕虫式传播。

2 漏洞介绍

威胁类型：远程代码执行（RCE）

威胁等级：高危

漏洞名称：

CVE-2019-1181、

CVE-2019-1182、

CVE-2019-1222、

CVE-2019-1226。

受影响系统及应用版本：

Windows 7 SP1,

Windows Server 2008 R2 SP1,

Windows Server 2012,

Windows 8.1,

Windows Server 2012 R2,

Windows 10。

不受影响系统版本：

Windows XP,

Windows Server 2003,

Windows Server 2008。

3 漏洞危害

根据编号为CVE-2019-1181/1182的安全公告，微软表示这个问题并非出在RDP协议上，而是在Remote Desktop Service（远程桌面服务）中。黑客可以通过Remote Desktop Service（远程桌面服务）向目标设备发送特制的请求，这个漏洞是预身份认证且不需要用户交互的，可以在不需要用户干预的情况下远程执行任意代码。意味着未来任何利用这个漏洞的恶意程序都可以像2017年WannaCry一样在全球范围内传播，大面积感染设备。

4 解决方案

江民赤豹安全实验室中心建议用户，及时打上微软在8月份推送的安全补丁，如果没有业务上的需要，可以禁用远程桌面服务。

补丁下载地址：

b4fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3L8%4u0@1j5h3I4Q4x3X3g2E0M7%4u0U0i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8g2f1#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0V1k6%4g2A6k6r3q4F1j5$3g2Q4x3V1k6S2k6s2k6A6M7$3!0J5P5g2)9J5c8V1y4h3c8g2)9J5k6o6t1H3x3e0W2Q4x3X3b7I4x3e0R3I4

e55K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3L8%4u0@1j5h3I4Q4x3X3g2E0M7%4u0U0i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8g2f1#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0V1k6%4g2A6k6r3q4F1j5$3g2Q4x3V1k6S2k6s2k6A6M7$3!0J5P5g2)9J5c8V1y4h3c8g2)9J5k6o6t1H3x3e0W2Q4x3X3b7I4x3e0R3J5

da8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3L8%4u0@1j5h3I4Q4x3X3g2E0M7%4u0U0i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8g2f1#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0V1k6%4g2A6k6r3q4F1j5$3g2Q4x3V1k6S2k6s2k6A6M7$3!0J5P5g2)9J5c8V1y4h3c8g2)9J5k6o6t1H3x3e0W2Q4x3X3b7I4x3U0t1J5

576K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3L8%4u0@1j5h3I4Q4x3X3g2E0M7%4u0U0i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8g2f1#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0V1k6%4g2A6k6r3q4F1j5$3g2Q4x3V1k6S2k6s2k6A6M7$3!0J5P5g2)9J5c8V1y4h3c8g2)9J5k6o6t1H3x3e0W2Q4x3X3b7I4x3U0t1$3

在启用了网络级别身份验证（NLA）的受影响系统上进行部分缓解。因为NLA在触发漏洞之前需要进行身份验证。但是，如果攻击者具有可用于成功进行身份验证的有效凭据，则受影响的系统仍然容易受到远程执行代码执行（RCE）的攻击。