微軟遠程桌面用戶端漏洞可讓黑客執行遠程程序代碼，但微軟不願修補

以色列安全廠商Cymulate發現，微軟遠程桌面用戶端（Remote Desktop Client）一項漏洞，讓黑客可以繞過安全驗證而在Windows系統執行惡意程序代碼。不過微軟認為攻擊不易，因而拒絕修補。

在創建遠程桌面連接時，微軟遠程桌面用戶端（舊稱Microsoft Terminal Service Client，MSTSC）需要調用mstscax.dll等DLL文件，使Windows和遠程計算機或虛擬機創建網路連接。這家廠商發現攻擊者可以通過微軟RDP（Remote Desktop Protocol）執行DLL側載（DLL Side-Loading），繞過安全檢查執行惡意程序代碼。

Cymulate研究人員指出，現行Windows設計下，執行文件載入mstscax.dll並不會驗證函數庫程序代碼的安全性，因此攻擊者可將C:\Windows\System 32文件夾中的mstscax.dll以同名惡意文件置換掉，在合法程序掩護下執行惡意行為。

研究人員通報微軟後，微軟並未加以修補，理由是在Windows\System 32文件夾下置換DLL文件需要管理員許可權，因此不認為是威脅。

但研究人員指出有不需要管理許可權的攻擊方法。只要將mstscax.dll複製到外部文件夾，則mstsc.exe就不是從system 32文件夾載入DLL檔，也就不需管理員許可權。這麼一來，黑客就可以在已獲得簽章的mstsc.exe中執行惡意程序代碼，並繞過AppLocker等安全檢查。

DLL side-loading為新興攻擊手法，近年一些APT惡意程序即通過DLL Side-loading技術，將惡意程序隱藏在一些常見程序的根目錄中，如Version.dll、Comres.dll、rasaut64.dll和rasaut.dll（64位元），利用計算機開機優先載入系統system.dll程序的特性，優先載入這些偽裝成正常程序的惡意程序。

安全專家建議，為防Windows遠程桌面的漏洞遭到濫用，企業可以關閉mstsc.exe、並利用安全監控工具來防止mstsc.exe的異常行為，此外，也應詳細檢查文件夾下的mstscax.dll是真的還是冒牌貨。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！