微軟遠程桌面協議曝安全漏洞 影響所有版本Windows操作系統
「用指尖改變世界」
微軟在本月的周二補丁日發布了針對漏洞CVE-2018-0886的安全補丁,這是一個最初由網路安全公司Preempt Security的研究人員發現並於2017年8月20日提交給微軟應急安全響應中心(MSRC)的高危漏洞。
漏洞存在於憑據安全支持提供程序(CredSSP)中,幾乎所有版本的Windows操作系統都受其影響,可能允許遠程攻擊者利用遠程桌面協議(RDP)和Windows遠程管理(WinRM)竊取數據並運行惡意代碼。
CredSSP被設計為由RDP和WinRM使用,負責安全地將從Windows客戶端加密的憑證轉發到目標伺服器以進行遠程驗證。
Preempt Security的研究人員發現,CredSSP存在一個邏輯加密缺陷,使得攻擊者能夠利用此漏洞與中間人(MITM)攻擊相結合來竊取會話身份驗證數據,以及執行遠程過程調用(DCE /RPC)攻擊。
具體來講,攻擊者首先會設置一個中間人,然後等待CredSSP會話發生。一旦發生,就會竊取會話身份驗證數據,並在用戶最初的伺服器上執行遠程過程調用(DCE/RPC)攻擊連接到與RDP連接的伺服器用戶,以此獲得本地管理員許可權來運行任意命令。
研究人員表示,這種攻擊模式可以在許多真實世界的場景中進行。例如,無論是具有WiFi還是網路物理訪問許可權的攻擊者都能夠很輕鬆地發起中間人攻擊。
另外,攻擊者還可以採用地址解析協議(ARP)攻擊在網路中橫向移動,這會導致同一網段中的所有設備都可能成為「犧牲品」。 儘管這是一種十分「老套」的攻擊手段,但並是不所有網路都百分之百的得到了針對ARP協議的保護。
值得注意的是,由於RDP是目前執行遠程登錄的最流行的應用程序之一,這使得大多數網路都極易受到基於該漏洞發起的攻擊的影響。為了進一步強調這一點,Preempt Security對其內部客戶進行了一次調研,他們發現幾乎所有的企業客戶都在使用RDP。
研究人員建議,用戶應該儘快安裝微軟發布的安全補丁以保護自己工作站和伺服器。另外,阻止包括RDP和DCE / RPC在內的相關應用程序埠也能夠在阻止這種攻擊上面起到一定的作用。
此外,由於這種攻擊可以通過不同的協議以不同的方式實施,因此研究人員還建議,用戶應儘可能減少特權帳戶的使用。
本文由黑客視界綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。
※遭遇勒索軟體GandCrab不要慌!比特梵德已發布免費解密工具
※比特梵德也沒轍了 GandCrab V2版本已發布
TAG:黑客視界 |