18908891838
收缩
  • 售前咨询
  • 点击这里给我发消息
  • 点击这里给我发消息
  • 网站备案
  • 点击这里给我发消息
  • 技术支持
  • 点击这里给我发消息
  • 点击这里给我发消息
  • 进机房维护办理电话
  • 18908891837
  • 0871-63391719
  • 技术支持服务电话
  • 18908891838
  • 15096674079
  • 关注微信

Windows 新“蠕虫级”远程桌面服务漏洞风险预警

日期:2019/11/28 15:51:51    来源:本站    作者:昆明英奈特
图标浏览量:

Windows 新“蠕虫级”远程桌面服务漏洞风险预警

CVE-2019-1181及CVE-2019-1182)

尊敬的客户您好!

收到国家计算机病毒应急处理中心腾讯云安全中心监测通报,为了维护客户切身利益,昆明英奈特信息技术有限公司提发布预警通告。

近期发现Globelmposter勒索病毒又出现最新变种,该变种被命名为十二主神版本。该恶意程序加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等。该勒索病毒变种影响范围涉及不同行业,覆盖行业有医疗、政府、能源、贸易等,其中医疗行业受该病毒影响最大。

该勒索病毒变种通过社会工程、RDP爆破、恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索。首先,此勒索病毒为了保证正常运行,先关闭了 Windows defender。然后创建自启动项,启动项命名为 WindowsUpdateCheck。通过执行cmd命令删除磁盘卷影、停止数据库服务。同时,对磁盘文件进行遍历,排除对非加密文件及目录后,对其余文件进行加密操作,加密后缀名为Ares666,生成勒索信息文件 HOW TO BACK YOUR FILES.txt。在加密完成以后,删除自启动项,执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志。最后,病毒文件进行自删除处理。

针对该恶意程序所造成的危害,建议用户及时给电脑打补丁,修复漏洞,对重要的数据文件定期进行非本地备份。同时,不要点击来源不明的邮件附件,不从不明网站下载软件。尽量关闭不必要的文件共享权限。并且要经常更改账户密码,设置强密码。如果业务上无需使用RDP的,建议关闭RDP,以免使电脑受到该恶意程序的危害。

该病毒具体情况如下:

病毒名称:GlobeImposter勒索病毒“十二主神”2.0版本

病毒性质:勒索病毒

影响范围:目前国内已有多行业用户受感染

危害等级:高危

传播方式:通过社会工程、RDP暴力破解入侵、服务器操作系统漏洞

      【漏洞详情】

   CVE-2019-0736 | Windows DHCP 客户端远程代码执行漏洞

  CVE-2019-1181 | Windows 远程桌面代码执行漏洞(CVSS评分:9.8)

  CVE-2019-1182 | Windows 远程桌面代码执行漏洞(CVSS评分:9.8)

  服务器操作系统漏洞影响情况如下:

  Windows Server 2008 R2: 共39个漏洞: 11 个严重漏洞, 28 个重要漏洞

  Windows Server 2012 R2: 共40个漏洞: 11 个严重漏洞, 29 个重要漏洞

  Windows Server 2016:  共50个漏洞: 11 个严重漏洞, 39 个重要漏洞

  Windows Server 2019: 共65个漏洞: 14 个严重漏洞, 51 个重要漏洞

  在此次更新中,微软还修复了Google Project Zero 团队披露的一个Windows本地提权漏洞:

  CVE-2019-1162 - Windows ALPC 权限提升漏洞(影响Windows XP之后的所有操作系统)

【漏洞风险】

  本地权限提升、代码执行等

 【影响版本】

  此次安全“蠕虫级”安全漏洞的影响的企业级操作系统如下:

  Windows Server 2008 R2

  Windows Server 2012

  Windows Server 2012 R2

  Windows Server 2016

  Windows Server 2019

CVE-2019-0708漏洞补丁地址:http://dlied6.qq.com/invc/qqpcmgr/other/rdsvulfixol_v3.exe

 【修复补丁】

  Windows Server 2008 R2: 

  安全补丁下载地址http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/08/windows6.1-kb4512486-x64_547fe7e4099c11d494c95d1f72e62a693cd70441.msu

  Windows Server 2012 

  安全补丁下载地址

http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/08/windows8-rt-kb4512482-x64_d70a5c16078078eabc121282b160536e6f61d242.msu

  Windows Server 2012 R2

  安全补丁下载地址

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/08/windows8.1-kb4512489-x64_be2ed8f4ee800d8c39e5025c5d95808858077c05.msu

  Windows Server 2016:

  安全补丁下载地址

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/08/windows10.0-kb4512517-x64_81ba5a17cf768a54489faf28ba3a3eca3c0c36d5.msu

  Windows Server 2019:

  安全补丁下载地址

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/08/windows10.0-kb4511553-x64_a67329ef92df959050847b10d583e6c54aa3b3d4.msu

【修复建议】

   微软官方均已发布漏洞修复更新,昆明英奈特信息技术有限公司安全团队建议您:

   1)更新系统补丁: 确保服务器打上了所需的补丁,打开 Windows Update 更新功能,点击“检查更新”,根据业务情况开展评估,下载并安装相应的安全补丁,更新后重启系统生效,并观察系统及业务运行状态;

   2)开启网络级别身份验证(NLA):打开Windows的“控制面板”菜单,找到“系统和安全 - 系统 - 远程设置”选项,找到“远程”选项卡,选择 “仅允许运行使用网络级别身份验证的远程桌面的计算机连接(更安全)”选项,即可开启NLA;

   3)不要打开来历不明的文件或者链接 : 避免被攻击者利用在机器上执行恶意代码;

   4)配置安全组: 禁止外部到内部关键机器的网络访问;

   5)最小化权限运行:以软件功能所需的最小化权限来运行相关应用程序。

 【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。

分享