一、事件基本情况

2019年5月14日，微软官方发布安全公告称，Windows Remote Desktop Service（远程桌面服务）中存在远程代码执行漏洞（CVE-2019-0708），攻击者可利用该漏洞开发出类似于Wannacry（魔窟）的恶意软件，实现全球范围内快速传播。

二、影响版本

漏洞影响的产品版本包括：

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP Professional x64 Edition SP2

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 x64 Edition SP2

三、漏洞分析

Remote Desktop Service中存在的远程代码执行漏洞为预身份验证，攻击者可以利用该漏洞向目标系统发送特定请求，在无用户交互的情况下远程执行任意代码，安装程序，查看、更改或删除数据等，甚至创建具有管理员权限的账户。

目前，微软已对此漏洞发布安全更新。

三、对策建议

建议相关工业企业认真按照《工业控制系统信息安全防护指南》要求，做好补丁安装等防范工作。

一是及时下载并安装漏洞补丁，Windows 7，Windows Server 2008 R2，Windows Server 2008用户下载地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708；

Windows XP和Windows Server 2003用户下载地址：

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708。

二是对于无法短期内安装补丁的系统，可采取减缓威胁的临时措施，如禁用远程桌面服务（RDP）、开启网络身份认证（NLA）、阻断TCP 3389高危端口等。