旧版Windows存在远端桌面服务重大漏洞，微软罕见修补XP、Server 2003

微软发布安全公告，警告旧版Windows包括桌机及服务器版存在）的重大远端程式码执行漏洞，有引发类似WannaCry灾难之虞，并罕见针对Windows XP、Server 2003释出修补程式，并呼吁用户尽速升级。

编号CVE-2019-0708的漏洞存在于旧版Windows远端桌面服务（Remote Desktop Service, RDS）中，后者原本被称为终端服务（Terminal Services），本漏洞可使未授权攻击者得以利用RDP连上目标系统，传送改造过的呼叫。远端桌面协定（Remote Desktop Protocol, RDP）本身则未受影响。

CVE-2019-0708为一种预先验证（pre-authentication）漏洞，不需使用者互动即可作用，成功开采者可于远端执行任意程式码、安装恶意程式、读取或删改资料、或新开具完整权限的用户账号。微软安全部门指出，作为预先验证漏洞，意谓著CVE-2019-0708可被蠕虫繁殖（wormable），也就是说任何开采本漏洞的恶意软件，都可从一台有漏洞的电脑复制扩散到其他电脑上，一如2017年殃及全球的WannaCry。微软目前未观察到任何开采情形，但骇客极可能针对它撰写攻击程式。

CVE-2019-0708影响的版本除了目前微软还支援的Windows 7、Windows Server 2008 及2008 R2，更包括已经终止支援的Windows XP及Server 2003。但Windows 8和Windows 10系统则不受影响。

在所有版本Windows 上，本漏洞的CVSS Score v3风险评分皆为重大等级的9.8分（满分10分），并且没有权宜性（workarounds）的方法。上述版本软件若有启用网络层验证（Network Level Authentication，NLA）或许可抵挡蠕虫程式或进阶威胁，但是如果攻击者具备有效帐密，则仍然可成功验证而于远端执行恶意程式码发动攻击。因此，微软强烈建议用户应尽速安装修补程式。

如果用户Windows版本仍在支援中，可经由Windows自动更新机制或从微软安全更新指南网页下载更新。微软还针对Windows XP（SP3 x86、商用版 x64 版 SP2、Embedded SP3 x86）、Server 2003（SP2 x86、x64 版 SP2）例外释出KB4500705版本修补程式。