在3月的补丁星期二活动上线的累积更新,微软推送安全补丁修复一项利用微软RDP远程桌面协议的严重漏洞CVE-2018-0886,影响所有Windows Vista以后的PC系统。
如果攻击者利用RDP协议的远程代码执行漏洞,将通过远程桌面控制端向远程桌面端发起中间人攻击注入可执行恶意密码,这一漏洞率先由信息安全公司Preempt发现并向微软报告,微软成功在公布期内修复了此漏洞,目前尚未被黑客利用,但公司敦促各组织企业的IT管理员尽快安装最新累计更新。
该漏洞利用了一项在客户端计算机上启用凭据安全服务提供程序 (CredSSP) 身份验证的逻辑缺陷,会在用户使用Windows远程管理应用和RDP远程桌面协议发生,由于是逻辑性错误,这将影响所有部署RDP协议的Windows系统版本,包括Windows Vista/7/8.x/10等,请用户尤其是企业级用户尽快升级累积更新。2017年8月20日首次向微软MSRC披露此漏洞,2017年8月30日微软回应已经执行
研究人员表示,这种攻击模式可以在许多真实世界的场景中进行。例如,无论是具有WiFi还是网络物理访问权限的攻击者都能够很轻松地发起中间人攻击。
另外,攻击者还可以采用地址解析协议(ARP)攻击在网络中横向移动,这会导致同一网段中的所有设备都可能成为“牺牲品”。 尽管这是一种十分“老套”的攻击手段,但并是不所有网络都百分之百的得到了针对ARP协议的保护。
值得注意的是,由于RDP是目前执行远程登录的最流行的应用程序之一,这使得大多数网络都极易受到基于该漏洞发起的攻击的影响。为了进一步强调这一点,Preempt Security对其内部客户进行了一次调研,他们发现几乎所有的企业客户都在使用RDP。
研究人员建议,用户应该尽快安装微软发布的安全补丁以保护自己工作站和服务器。另外,阻止包括RDP和DCE / RPC在内的相关应用程序端口也能够在阻止这种攻击上面起到一定的作用。