微軟遠程桌面協議曝安全漏洞 影響所有版本Windows操作系統

「用指尖改變世界」

微軟在本月的周二補丁日發布了針對漏洞CVE-2018-0886的安全補丁，這是一個最初由網路安全公司Preempt Security的研究人員發現並於2017年8月20日提交給微軟應急安全響應中心(MSRC)的高危漏洞。

漏洞存在於憑據安全支持提供程序(CredSSP)中，幾乎所有版本的Windows操作系統都受其影響，可能允許遠程攻擊者利用遠程桌面協議(RDP)和Windows遠程管理(WinRM)竊取數據並運行惡意代碼。

CredSSP被設計為由RDP和WinRM使用，負責安全地將從Windows客戶端加密的憑證轉發到目標伺服器以進行遠程驗證。

Preempt Security的研究人員發現，CredSSP存在一個邏輯加密缺陷，使得攻擊者能夠利用此漏洞與中間人(MITM)攻擊相結合來竊取會話身份驗證數據，以及執行遠程過程調用(DCE /RPC)攻擊。

具體來講，攻擊者首先會設置一個中間人，然後等待CredSSP會話發生。一旦發生，就會竊取會話身份驗證數據，並在用戶最初的伺服器上執行遠程過程調用(DCE/RPC)攻擊連接到與RDP連接的伺服器用戶，以此獲得本地管理員許可權來運行任意命令。

研究人員表示，這種攻擊模式可以在許多真實世界的場景中進行。例如，無論是具有WiFi還是網路物理訪問許可權的攻擊者都能夠很輕鬆地發起中間人攻擊。

另外，攻擊者還可以採用地址解析協議(ARP)攻擊在網路中橫向移動，這會導致同一網段中的所有設備都可能成為「犧牲品」。 儘管這是一種十分「老套」的攻擊手段，但並是不所有網路都百分之百的得到了針對ARP協議的保護。

值得注意的是，由於RDP是目前執行遠程登錄的最流行的應用程序之一，這使得大多數網路都極易受到基於該漏洞發起的攻擊的影響。為了進一步強調這一點，Preempt Security對其內部客戶進行了一次調研，他們發現幾乎所有的企業客戶都在使用RDP。

研究人員建議，用戶應該儘快安裝微軟發布的安全補丁以保護自己工作站和伺服器。另外，阻止包括RDP和DCE / RPC在內的相關應用程序埠也能夠在阻止這種攻擊上面起到一定的作用。

此外，由於這種攻擊可以通過不同的協議以不同的方式實施，因此研究人員還建議，用戶應儘可能減少特權帳戶的使用。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！