微软远程桌面协议漏洞影响所有版本深度技术windows系统
微软在本月的周二补丁日发布了针对漏洞CVE-2018-0886的安全补丁,这是一个最初由网络安全公司Preempt Security的研究人员发现并于2017年8月20日提交给微软应急安全响应中心(MSRC)的高危漏洞。
漏洞存在于凭据安全支持提供程序(CredSSP)中,几乎所有版本的深度技术windows操作系统都受其影响,可能允许远程攻击者利用远程桌面协议(RDP)和深度技术windows远程管理(深度技术winRM)窃取数据并运行恶意代码。
CredSSP被设计为由RDP和深度技术winRM使用,负责安全地将从深度技术windows客户端加密的凭证转发到目标服务器以进行远程验证。
Preempt Security的研究人员发现,CredSSP存在一个逻辑加密缺陷,使得攻击者能够利用此漏洞与中间人(MITM)攻击相结合来窃取会话身份验证数据,以及执行远程过程调用(DCE /RPC)攻击。
具体来讲,攻击者首先会设置一个中间人,然后等待CredSSP会话发生。一旦发生,就会窃取会话身份验证数据,并在用户最初的服务器上执行远程过程调用(DCE/RPC)攻击连接到与RDP连接的服务器用户,以此获得本地管理员权限来运行任意命令。
研究人员表示,这种攻击模式可以在许多真实世界的场景中进行。例如,无论是具有wiFi还是网络物理访问权限的攻击者都能够很轻松地发起中间人攻击。
另外,攻击者还可以采用地址解析协议(ARP)攻击在网络中横向移动,这会导致同一网段中的所有设备都可能成为“牺牲品”。 尽管这是一种十分“老套”的攻击手段,但并是不所有网络都百分之百的得到了针对ARP协议的保护。
值得注意的是,由于RDP是目前执行远程登录的最流行的应用程序之一,这使得大多数网络都极易受到基于该漏洞发起的攻击的影响。为了进一步强调这一点,Preempt Security对其内部客户进行了一次调研,他们发现几乎所有的企业客户都在使用RDP。
研究人员建议,用户应该尽快安装微软发布的安全补丁以保护自己工作站和服务器。另外,阻止包括RDP和DCE / RPC在内的相关应用程序端口也能够在阻止这种攻击上面起到一定的作用。
此外,由于这种攻击可以通过不同的协议以不同的方式实施,因此研究人员还建议,用户应尽可能减少特权帐户的使用。
访问:
- 专题推荐
- 深度技术系统推荐
- 1深度技术Ghost Win10 x64位 多驱动纯净版2019V08(绝对激活)
- 2深度技术Ghost Win10 x64位 特别纯净版v2018.01(绝对激活)
- 3萝卜家园Windows11 体验装机版64位 2021.09
- 4深度技术Ghost Win10 x64位 完美纯净版2019年05月(无需激活)
- 5深度技术Ghost Win10 X64 精选纯净版2021v03(激活版)
- 6深度技术 Ghost Win10 32位 装机版 V2016.09(免激活)
- 7深度技术 Ghost Win10 x86 装机版 2016年05月
- 8深度技术Ghost Win10 X32位 完美装机版2017.09月(免激活)
- 9深度技术Ghost Win10 (64位) 经典装机版V2017.07月(免激活)
- 10深度技术Ghost Win10 X32增强修正版2017V01(绝对激活)
- 深度技术系统教程推荐