各学院,各部门,各单位:
接到国家网络与信息安全信息通报中心通报,微软Windows操作系统存在远程代码执行漏洞(CVE-2019-0708)。此漏洞是预身份验证,无需用户交互。利用此漏洞的任何未来恶意软件都可能以2017年席卷全球的WannaCry蠕虫病毒的类似方式,在全球范围大爆发。
2017年5 月12 日晚,WannaCry勒索病毒软件利用windows操作系统永恒之蓝漏洞发起攻击,仅仅几个小时内,该勒索软件攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都有中招。当天,该勒索攻击导致16家英国医院业务瘫痪;西班牙某电信公司85%的电脑受感染;至少1600家美国组织、11200家俄罗斯组织和6500家中国组织和企业都受到了攻击;国内大量教学系统瘫痪。
截止至今,WannaCry勒索病毒已经影响了全球150个国家的约20万个Windows系统,且还有系统不断中招。近日,校内某系统的多台服务器被监测到存在恶意访问行为,确认感染WannaCry勒索病毒软件,目前已对这几台服务器进行了应急处置。
我校高度重视此次漏洞排查修复工作,要求各单位认真落实网络安全主体防护责任,立即排查修复CVE-2019-0708远程桌面服务远程代码执行漏洞,防范于未然,切实加强对校内个人PC终端、服务器的安全保护。
请各单位全面梳理单位名下的个人PC终端、服务器情况,明确影响范围,落实修复工作,于5月24日之前将排查修复总体工作情况回复至邮箱sec2018@zju.edu.cn。
联系人:冯洁莹 87952056
附件:漏洞介绍及修复建议
浙江大学网络与信息安全领导小组办公室
2019年05月17日
附件:
CVE-2019-0708远程桌面服务远程代码执行
漏洞介绍及修复建议
一、漏洞介绍
2019年5月14日,Microsoft在最新的安全更新公告中披露了一则RDP远程代码执行漏洞。
远程桌面服务(Remote Desktop Services,RDP),是Windows操作系统自带的一项服务,它允许系统用户通过图形用户界面连接到远程系统。当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞。此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户。
恶意攻击者还很有可能利用该漏洞专门编写恶意代码到定制的恶意软件,利用此漏洞的任何未来恶意软件都可能以与 2017年WannaCry恶意软件遍布全球的类似方式,从易受攻击的计算机传播到易受攻击的计算机。
二、影响范围
目前受影响的Windows版本:
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Server 2008
Microsoft Windows Server 2008 R2
Microsoft Windows 7
三、修复建议
请各单位务必提高警惕,落实可采取的风险防范措施:
1. 及时安装微软发布的安全更新补丁:
官方下载地址:
操作系统 | 补丁下载地址 |
Windows Server 2008、 Windows Server 2008 R2、 Windows 7 | https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 |
Windows XP、 Windows 2003 | https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708 |
校内下载地址:http://buding.zju.edu.cn
可联互联网的计算机,建议用Windows自带的更新程序升级。对于内网用户,也建议下载安装该补丁。
2. 缓解措施(在无法及时安装微软安全更新的情况下作为临时性解决方案):
(1)若用户不需要用到远程桌面服务,建议禁用该服务。
(2)开启网络级别身份验证(NLA),此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2。
(3)暂时性修改RDP的连接端口,默认端口为3389。
(4)使用ACL对RDP的访问来源进行限制。
以上缓解措施只能暂时性针对该漏洞对系统进行部分缓解,强烈建议在条件允许的情况下及时安装微软安全更新。
3.其他注意事项
(1)提高安全意识,不随意点击来源不明的邮件、文档、链接等,并及时为操作系统、IE、Flash等常用软件打好补丁。
(2)重要数据、文档应经常做备份,一旦文件损坏或丢失,可及时找回。
(3)避免使用弱口令,密码设置最好包括数字、大小写字母、符号且长度至少应该有8位,以防攻击者破解。
(4)避免将远程桌面服务(默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭139、135、445等不必要的端口。
(5)一旦不幸中招,要首先断网断电,上报信息技术中心,同时寻求专业人员帮助,切勿轻信网上的各种解密方法或工具,自行操作。如有需要,可向信息技术中心寻求技术协助。