Microsoft遠程桌面服務遠程代碼執行漏洞（CVE-2019-0708）
小心??！打雷嘍！下雨收衣服阿......

2019年5月14日，一條漏洞刷爆安全圈，微軟官方發布安全補丁，修復了Windows遠程桌面服務的遠程代碼執行漏洞，此漏洞是預身份驗證且無需用戶交互，這就意味著這個漏洞可以通過網絡蠕蟲的方式被利用。最終可能會像野火一樣蔓延至整個系統，從而讓整個系統癱瘓。

微軟表示這個問題并非出在RDP協議上，而是服務本身。利用此漏洞的任何惡意軟件都可能從被感染的計算機傳播到其他易受攻擊的計算機，其方式與2017年WannaCry惡意軟件的傳播方式類似。

影響范圍

該漏洞影響了某些舊版本的Windows系統，如下：

Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows 2003
Windows XP

解決方案：

1、治標治本的方案：

u 立即更新補丁

2、臨時防護措施：

u 禁用遠程桌面服務。

u 通過主機防火墻對遠程桌面服務端口進行阻斷（默認為TCP 3389）。

u 啟用網絡級認證（NLA），此方案適用于Windows 7、Windows Server 2008和Windows Server 2008 R2。啟用NLA后，攻擊者首先需要使用目標系統上的有效帳戶對遠程桌面服務進行身份驗證，然后才能利用此漏洞。

上面的內容，是否已經看膩了??？

在部署了極元Oxtrea SwitchWall的網絡中，大可不必如此驚慌：

1、微隔離顯神威

還是用以前發的一張圖來說明，在建立了微隔離的環境中，服務器的3389端口早已被限制到很小的權限，只有管理終端有權限可以訪問，其他任何主機都不允許訪問。因此，3389端口并不是任何人都可以訪問的。

同時,由于Oxtrea SwitchWall是部署在接入層的，如果想臨時關閉端口，只要在Oxtrea SwitchWall下發一條訪問控制策略即可：Any—Any:3389—Deny。接著就可以安心的先打補丁，打完補丁再把策略停用即可。

2、全息誘捕主動攔截

當網絡中已經有主機被植入惡意程序或者有惡意滲透行為，想利用該漏洞進行蔓延的時候，首先都會主動的探測內網中所有存活的主機及其是否開啟了3389，然后再進行下一步的動作。由于陷阱主機群也開放了3389端口，因此，進行探測3389的動作必然會被陷阱主機群所感知，此時Oxtrea SwitchWall同樣會將該源IP進行阻斷，避免其擴散，同時發出日志告警，提示管理者對其采取后續的應對措施。

3、虛擬化平臺同樣適用

極元發布的基于虛擬化平臺的Oxtrea vSwitchWall for VMware，可以在Vmware平臺下同樣實現以上功能，無需依賴Vmware NSX，同時性能無瓶頸，數據的轉發完全依賴內置的虛擬化分布式交換機。