行业资讯

立即注册 咨询客服

当前位置:首页 > 行业资讯> 远程桌面协议中CredSSP缺陷将影响所有版本Windows系统

远程桌面协议中CredSSP缺陷将影响所有版本Windows系统

发布时间:2018年03月14日 09:43:12    来源: A5互联

在证书安全支持提供程序协议(CredSSP)中发现了一个严重漏洞,该漏洞影响所有版本的Windows,并可能允许远程攻击者利用RDP和WinRM窃取数据并运行恶意代码。

CredSSP 协议旨在供 RDP(远程桌面协议)和 Windows 远程管理 (WinRM) 用于从 Windows 客户端安全地将加密凭证转发给目标服务器进行远程认证。

网络安全公司 PreemptSecurity 的研究人员发现了这个漏洞(CVE-2018-0886      ),它是存在于 CredSSP 中的逻辑密码缺陷,可遭拥有网络 WiFi 或物理访问权限的中间人攻击,导致会话认证数据被盗并遭受远程过程调用攻击。

当客户端和服务器经由 RDP 和 WinRM 连接协议进行认证时,中间人攻击者可执行远程命令,从而攻陷企业网络。

Preempt 公司的首席安全研究员 Yaron Zinar 指出,“以充分权限窃取用户会话的攻击者能够以本地管理员权限运行不同的命令。在域名控制器的情况下这种问题尤为严重,因为默认情况下启用了多数远程过程调用 (DCE/RPC)。结果导致企业易受多种攻击,包括横向移动和感染关键服务器或域名控制器。”

影响范围广

由于 RDP 是执行远程登录最流行的应用,而且几乎所有的企业客户都在使用 RDP,因此多数网络易受影响。

Preempt 研究人员曾在去年8月份发现并将这个之前未知的远程代码执行漏洞提交给微软,但微软在这周的“补丁星期二”中才予以修复,距离报告日期已过去7个月之久。

建议减少对权限账户的使用

为阻止 CredSSP 漏洞的攻击,建议用户和企业应用微软发布的更新修复工作站和服务器。研究人员也警告称打补丁本身并不足以阻止该攻击,IT 专业人员应该进行一些配置应用该补丁并免受攻击。虽然相关的应用端口包括 RDP 和 DCE/RPC 也能阻挡攻击,但研究人员表示攻击可以使用不同的协议以不同方式实现。因此为了更好地包含网络安全,有必要尽量减少对权限账户的使用,而要尽可能地使用非权限账户。

微软在本周的“补丁星期二”中还为其它产品发布了补丁,包括 IE 和 Edge 浏览器、Windows 操作系统、Windows Office、PowerShell、Core ChakraCore 以及 Adobe Flash 播放器。