微软远程桌面协议漏洞影响所有版本Windows系统
微软在本月的周二补丁日发布了针对漏洞CVE-2018-0886的安全补丁,这是一个最初由网络安全公司Preempt Security的研究人员发现并于2017年8月20日提交给微软应急安全响应中心(MSRC)的高危漏洞。
漏洞存在于凭据安全支持提供程序(CredSSP)中,几乎所有版本的Windows操作系统都受其影响,可能允许远程攻击者利用远程桌面协议(RDP)和Windows远程管理(WinRM)窃取数据并运行恶意代码。
CredSSP被设计为由RDP和WinRM使用,负责安全地将从Windows客户端加密的凭证转发到目标服务器以进行远程验证。
Preempt Security的研究人员发现,CredSSP存在一个逻辑加密缺陷,使得攻击者能够利用此漏洞与中间人(MITM)攻击相结合来窃取会话身份验证数据,以及执行远程过程调用(DCE /RPC)攻击。
具体来讲,攻击者首先会设置一个中间人,然后等待CredSSP会话发生。一旦发生,就会窃取会话身份验证数据,并在用户最初的服务器上执行远程过程调用(DCE/RPC)攻击连接到与RDP连接的服务器用户,以此获得本地管理员权限来运行任意命令。
研究人员表示,这种攻击模式可以在许多真实世界的场景中进行。例如,无论是具有WiFi还是网络物理访问权限的攻击者都能够很轻松地发起中间人攻击。
另外,攻击者还可以采用地址解析协议(ARP)攻击在网络中横向移动,这会导致同一网段中的所有设备都可能成为“牺牲品”。 尽管这是一种十分“老套”的攻击手段,但并是不所有网络都百分之百的得到了针对ARP协议的保护。
值得注意的是,由于RDP是目前执行远程登录的最流行的应用程序之一,这使得大多数网络都极易受到基于该漏洞发起的攻击的影响。为了进一步强调这一点,Preempt Security对其内部客户进行了一次调研,他们发现几乎所有的企业客户都在使用RDP。
研究人员建议,用户应该尽快安装微软发布的安全补丁以保护自己工作站和服务器。另外,阻止包括RDP和DCE / RPC在内的相关应用程序端口也能够在阻止这种攻击上面起到一定的作用。
此外,由于这种攻击可以通过不同的协议以不同的方式实施,因此研究人员还建议,用户应尽可能减少特权帐户的使用。
访问: