遠程桌面協議 CredSSP 存在嚴重漏洞，影響所有版本的 Windows

近日，RDP 和 WInRM 使用的 CredSSP 協議（安全加密 Windows 用戶遠程登錄過程）被發現存在一個嚴重的漏洞。該漏洞可能會影響到迄今為止所有版本的Windows。此外，遠程攻擊者可以利用這個漏洞，使用 RDP 和 WinRM 竊取數據並運行惡意代碼。

CredSSP協議被RDP（遠程桌面協議）和Windows遠程管理（WinRM）使用，主要負責將Windows客戶端的憑證轉發到目標伺服器以進行遠程驗證。

漏洞詳情

這個漏洞是由網路安全公司Preempt Security的研究人員發現，漏洞編號為CVE-2018-0886，是CredSSP中的一個邏輯加密漏洞，可被中間人攻擊，通過 WiFi 或物理訪問網路來竊取會話並執行遠程進程調用攻擊。當客戶端和伺服器通過RDP和WinRM連接協議進行身份驗證時，中間人攻擊就能執行遠程命令，入侵企業網路。

Preempt首席安全研究員Yaron Zinar說：

攻擊者可以從有許可權用戶那裡竊取會話，進而利用本地管理員身份運行不同的命令。這對於大多數遠程調用（DCE / RPC）、默認啟用域控制器尤為重要。

由於RDP是執行遠程登錄中最常用的應用程序，並且幾乎所有的企業用戶都在使用，因此，這個漏洞可能會造成大範圍的影響。

Preempt的安全研究人員在去年8月發現了這個遠程代碼執行漏洞，並且在第一時間向微軟進行了報告。目前，微軟已經發布相關更新補丁，作為其周二補丁發布的一部分。

為了保護自己和企業免受CredSSP漏洞攻擊，建議用戶使用來自Microsoft的更新系統來修補他們的工作站和伺服器。除此之外，單靠補丁是不足以防止此類攻擊，還需要IT人員來更新配置運用該補丁，免受漏洞攻擊。因此，為了更好地保護您的網路，最好儘可能減少特權帳戶的使用。

作為2018年3月補丁的一部分，微軟還發布了其他產品的安全補丁，包括微軟IE，Edge瀏覽器，Windows操作系統，微軟Office，PowerShell，Core ChakraCore以及Adobe Flash播放器。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！