• 解决方案
  • 公有云
  • 混合云
  • 私有云
  • 智慧医疗
  • 企业数据安全
  • 增值服务
  • 云迁移
  • 云vwin德赢备用|官网主页运维
  • 网站运维
  • 数据备份
  • vwin德赢备用|官网主页运维
  • 资讯中心
  • 通知公告
  • 实时热点
  • 行业动态
  • 网站备案
  • 工信部网站备案
  • 公安部网站备案
  • 0871-63391719
    注册 登录
    收缩
  • 售前咨询
  • 点击这里给我发消息
  • 点击这里给我发消息
  • 点击这里给我发消息
  • 点击这里给我发消息
  • 网站备案
  • 点击这里给我发消息
  • 技术支持
  • 点击这里给我发消息
  • 点击这里给我发消息
  • 进机房维护办理电话
  • 18908891837
  • 技术支持服务电话
  • 18908891838
  • 15096674079
  • 关注微信
  • Windows 新“蠕虫级”远程桌面服务漏洞风险预警

    日期:2019-11-28 15:51:51    来源:本站    作者:昆明英奈特
    图标浏览量:

    Windows 新“蠕虫级”远程桌面服务漏洞风险预警

    CVE-2019-1181及CVE-2019-1182)

    尊敬的客户您好!

    收到国家计算机病毒应急处理中心腾讯云安全中心监测通报,为了维护客户切身利益,昆明英奈特信息技术有限公司提发布预警通告。

    近期发现Globelmposter勒索病毒又出现最新变种,该变种被命名为十二主神版本。该恶意程序加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等。该勒索病毒变种影响范围涉及不同行业,覆盖行业有医疗、政府、能源、贸易等,其中医疗行业受该病毒影响最大。

    该勒索病毒变种通过社会工程、RDP爆破、恶意程序捆绑等方式进行传播,加密受害主机文件,释放勒索信息进行勒索。首先,此勒索病毒为了保证正常运行,先关闭了 Windows defender。然后创建自启动项,启动项命名为 WindowsUpdateCheck。通过执行cmd命令删除磁盘卷影、停止数据库服务。同时,对磁盘文件进行遍历,排除对非加密文件及目录后,对其余文件进行加密操作,加密后缀名为Ares666,生成勒索信息文件 HOW TO BACK YOUR FILES.txt。在加密完成以后,删除自启动项,执行cmd命令删除磁盘卷影、删除远程桌面连接信息、清除系统日志。最后,病毒文件进行自删除处理。

    针对该恶意程序所造成的危害,建议用户及时给电脑打补丁,修复漏洞,对重要的数据文件定期进行非本地备份。同时,不要点击来源不明的邮件附件,不从不明网站下载软件。尽量关闭不必要的文件共享权限。并且要经常更改账户密码,设置强密码。如果业务上无需使用RDP的,建议关闭RDP,以免使电脑受到该恶意程序的危害。

    该病毒具体情况如下:

    病毒名称:GlobeImposter勒索病毒“十二主神”2.0版本

    病毒性质:勒索病毒

    影响范围:目前国内已有多行业用户受感染

    危害等级:高危

    传播方式:通过社会工程、RDP暴力破解入侵、vwin德赢备用|官网主页操作系统漏洞

          【漏洞详情】

       CVE-2019-0736 | Windows DHCP 客户端远程代码执行漏洞

      CVE-2019-1181 | Windows 远程桌面代码执行漏洞(CVSS评分:9.8)

      CVE-2019-1182 | Windows 远程桌面代码执行漏洞(CVSS评分:9.8)

      vwin德赢备用|官网主页操作系统漏洞影响情况如下:

      Windows Server 2008 R2: 共39个漏洞: 11 个严重漏洞, 28 个重要漏洞

      Windows Server 2012 R2: 共40个漏洞: 11 个严重漏洞, 29 个重要漏洞

      Windows Server 2016:  共50个漏洞: 11 个严重漏洞, 39 个重要漏洞

      Windows Server 2019: 共65个漏洞: 14 个严重漏洞, 51 个重要漏洞

      在此次更新中,微软还修复了Google Project Zero 团队披露的一个Windows本地提权漏洞:

      CVE-2019-1162 - Windows ALPC 权限提升漏洞(影响Windows XP之后的所有操作系统)

    【漏洞风险】

      本地权限提升、代码执行等

     【影响版本】

      此次安全“蠕虫级”安全漏洞的影响的企业级操作系统如下:

      Windows Server 2008 R2

      Windows Server 2012

      Windows Server 2012 R2

      Windows Server 2016

      Windows Server 2019

    CVE-2019-0708漏洞补丁地址:http://dlied6.qq.com/invc/qqpcmgr/other/rdsvulfixol_v3.exe

     【修复补丁】

      Windows Server 2008 R2: 

      安全补丁下载地址http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/08/windows6.1-kb4512486-x64_547fe7e4099c11d494c95d1f72e62a693cd70441.msu

      Windows Server 2012 

      安全补丁下载地址

    http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/08/windows8-rt-kb4512482-x64_d70a5c16078078eabc121282b160536e6f61d242.msu

      Windows Server 2012 R2

      安全补丁下载地址

    http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/08/windows8.1-kb4512489-x64_be2ed8f4ee800d8c39e5025c5d95808858077c05.msu

      Windows Server 2016:

      安全补丁下载地址

    http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/08/windows10.0-kb4512517-x64_81ba5a17cf768a54489faf28ba3a3eca3c0c36d5.msu

      Windows Server 2019:

      安全补丁下载地址

    http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/08/windows10.0-kb4511553-x64_a67329ef92df959050847b10d583e6c54aa3b3d4.msu

    【修复建议】

       微软官方均已发布漏洞修复更新,昆明英奈特信息技术有限公司安全团队建议您:

       1)更新系统补丁: 确保vwin德赢备用|官网主页打上了所需的补丁,打开 Windows Update 更新功能,点击“检查更新”,根据业务情况开展评估,下载并安装相应的安全补丁,更新后重启系统生效,并观察系统及业务运行状态;

       2)开启网络级别身份验证(NLA):打开Windows的“控制面板”菜单,找到“系统和安全 - 系统 - 远程设置”选项,找到“远程”选项卡,选择 “仅允许运行使用网络级别身份验证的远程桌面的计算机连接(更安全)”选项,即可开启NLA;

       3)不要打开来历不明的文件或者链接 : 避免被攻击者利用在机器上执行恶意代码;

       4)配置安全组: 禁止外部到内部关键机器的网络访问;

       5)最小化权限运行:以软件功能所需的最小化权限来运行相关应用程序。

     【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。

    分享

    vwin德赢备用|官网主页

  • <tr id='bdfb40'><strong id='bdfb40'></strong><small id='bdfb40'></small><button id='bdfb40'></button><li id='bdfb40'><noscript id='bdfb40'><big id='bdfb40'></big><dt id='bdfb40'></dt></noscript></li></tr><ol id='bdfb40'><option id='bdfb40'><table id='bdfb40'><blockquote id='bdfb40'><tbody id='bdfb40'></tbody></blockquote></table></option></ol><u id='bdfb40'></u><kbd id='bdfb40'><kbd id='bdfb40'></kbd></kbd>

    <code id='bdfb40'><strong id='bdfb40'></strong></code>

    <fieldset id='bdfb40'></fieldset>
          <span id='bdfb40'></span>

              <ins id='bdfb40'></ins>
              <acronym id='bdfb40'><em id='bdfb40'></em><td id='bdfb40'><div id='bdfb40'></div></td></acronym><address id='bdfb40'><big id='bdfb40'><big id='bdfb40'></big><legend id='bdfb40'></legend></big></address>

              <i id='bdfb40'><div id='bdfb40'><ins id='bdfb40'></ins></div></i>
              <i id='bdfb40'></i>
            1. <dl id='bdfb40'></dl>
              1. <blockquote id='bdfb40'><q id='bdfb40'><noscript id='bdfb40'></noscript><dt id='bdfb40'></dt></q></blockquote><noframes id='bdfb40'><i id='bdfb40'></i>