事件描述

2019年8月13日，微软发布了8月例行补丁更新列表，其中包含四个威胁评级为严重的RDP（远程桌面服务）远程代码执行漏洞。攻击者可以通过构造恶意特殊的RDP请求触发漏洞，获取在目标系统上的远程代码执行权限。需要注意的是从微软公告中来看，该漏洞为预身份验证，即无需用户交互（即利用的要求可能较低），这意味着该漏洞有可能被蠕虫所利用，其中漏洞CVE-2019-1181/CVE-2019-1182是微软在升级加固远程桌面服务期间所发现。目前，没有证据表明任何第三方都知道这两个漏洞的存在，但随着漏洞补丁的发布技术细节极有可能被包括攻击者在内的第三方所分析了解。

漏洞编号

CVE-2019-1181

CVE-2019-1182

CVE-2019-1222

CVE-2019-1226

漏洞影响的产品版本包括：

目前网络上开放RDP服务的服务器

Windows 7 SP1

Windows Server 2008 R2 SP1

Windows Server 2012

Windows 8.1

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

所有Windows 10版本和服务器版本。

处置建议

1、目前软件厂商微软已经发布了漏洞相应的补丁，网络管理中心建议进行相关升级：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

2、如暂时无法更新补丁，可以通过在系统上启用网络及身份认证（NLA）以暂时规避该漏洞影响（需要注意以下三条只对CVE-2019-1181/CVE-2019-1182有效）。

3、如无需求，可禁用相关远程桌面服务。

附：参考链接：

https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226