免费客户服务热线:4006-618-418   ICP备案帮助 | FAQ常见问题 | 合同文档 | 客户案例 | 网络环境 | 付款方式 | 联系我们
www.netshield.cn   服务器租用  服务器托管  基础IDC  虚拟空间  云主机  应用维护服务  网络安全产品
行业新闻
网盾科技最新动态,最新的产品促销活动分享和技术支持!
 IDC机房介绍
· 武汉电信南垸IDC机房
· 潜江电信IDC机房
· 鄂州电信IDC机房
· 十堰电信IDC机房
· 襄阳电信IDC机房
· 咸宁电信IDC机房
· 黄冈电信IDC机房
· 武汉联通IDC机房
· 九江双线IDC机房
 FAQ常见问题大全
· 业务咨询类
· ICP备案相关
· 虚拟主机相关问题
· 服务器相关问题
· 企业邮局相关问题
· 域名相关问题
· 支付合同相关问题
· IDC基础知识
 技术知识分类
· 服务器硬件相关
· 环境配置
· 系统管理
· 网络安全
· 数据库相关
· 网站程序问题
· 其他技术知识
· 新手教程(热)
 购买指南
· 付款方式
· 购买流程
· 为什么选择网盾
· 合同文档下载
· 网站ICP备案帮助
 网盾IDC全天候技术支持
7X24在线客服:
客服:4006-618-418
业务:027-87315200
             87315211
武汉网盾科技>>新闻资讯
微软RDP协议漏洞,波及全系OS
发布时间:2018-3-23 16:03:00 阅读次数:

在三月的周二补丁日,微软发布了CVE-2018-0886的补丁,该漏洞由Preempt的研究人员发现。该漏洞包含RDP(远程桌面协议)和Windows远程管理(WinRMI)使用的凭据安全服务提供程序协议(CredSSP,该协议负责将凭据安全的转发到目标服务器)中的逻辑缺陷。攻击者可以采用中间人攻击的方式利用该漏洞,以实现在受害网络中未中招的计算机上远程运行代码的目的。在很多真实的场景中,受害者的网络中存在有漏洞的网络设备,攻击者可使用该漏洞在网络横向移动甚至给域控安装恶意软件。目前Preempt还没有在野外检测到该漏洞的利用。这是一个逻辑漏洞,影响目前所有的Windows版本。就这个问题的广泛性而言,我们可以发现RDP是目前流行的远程登陆程序。为了进一步强调这点,我们在Preempt的内部调查中发现,几乎所有的企业用户都在使用RDP。这使得他们受到该漏洞的影响。

1.png

攻击是如何进行的?

攻击者可结合中间人攻击来利用该漏洞。攻击者开启中间人,等待CredSSP会话发生,一旦发生则偷取会话的认证,并在向用户原始连接的服务器(比如用户用RDP连接的服务器)上进行远程方法调用攻击(DCE/RPC)。攻击者如果偷取到了权限足够的用户Session,则可用本地管理员权限执行不同的命令。由于大部分的域控会默认开启远程方法调用(DCE/RPC),故该漏洞对域控的影响非常大。

 2.png

这种攻击在很多现实场景中是可以进行的。例如:

1.攻击者具有Wifi/物理网络的访问权限:如果攻击者可以通过某种方式访问您的物理网络,那么他可以轻松地发起了中间人攻击。如果您的网络区域中部署了WiFi,则可能会受到密钥重装攻击(key reinstallation attacks,KRACK)的影响,从而使得所有通过WIFI被RDP连接的机器都会受影响。

2.ARP投毒:尽管这是一种老式的攻击技巧,但是很多网络中仍没有100%的进行ARP投毒保护。如果您的网络存在这种情况,那么这个漏洞意味着一个攻击者可以轻易地从一台已经控制的机器横向移动并感染同网段的所有机器。

3.攻击敏感服务(包括域控制器):有时,攻击者可以控制组织中的多个工作站,并希望找到途径去入侵敏感的关键业务服务器(可能需要更高的权限)。如果网络中存在有漏洞的路由器活交换机(比如 CVE-2018-0101,一些Cisco路由器存在的远程代码执行漏洞),这样会相对容易的入侵到关键服务器。攻击者只需要入侵到目标服务器临近的路由器,并等待着IT管理员使用RDP登录到服务器即可。

影响范围广

由于 RDP 是执行远程登录最流行的应用,而且几乎所有的企业客户都在使用 RDP,因此多数网络易受影响。

Preempt 研究人员曾在去年8月份发现并将这个之前未知的远程代码执行漏洞提交给微软,但微软在这周的“补丁星期二”中才予以修复,距离报告日期已过去7个月之久。

微软应急响应中心(MSRC)响应与时间线

微软承认了该问题,CVE已经发布(CVE-2018-0886),并对此发布了修复补丁。

时间线:

20/08/2017 – 初次向MSRC披露

30/08/2017 – 微软复现攻击,并承认该问题

18/09/2017 – 微软要求延长90天的SLA

12/03/2018 – 微软修复了CVE-2018-0886作为3月份周二补丁的一部分。

我如何保护自己免受这些漏洞的侵害?

下面是一些您需要采取的主要步骤,以确保您可以抵御最近的威胁。

1.确保您的工作站和服务器已经正确的打了补丁。这是一个基本要求。但需要注意,仅仅打补丁是不够的,您还需要进行配置需改以应用补丁进行保护。更多关于应用补丁的细节请看微软公告

公告链接:

2018.3月安全公告说明:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/6c8fa125-28f6-e711-a963-000d3a33a34d

CVE-2018-0886 的 CredSSP 更新:

https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

要点提醒:

1、想要治本,还是打上安全补丁。

无论是打安全补丁还是通过修改注册表,都需要重新启动才能生效!!!

2、只想治标,那就直接关闭系统的RDP功能或者是从网络层面过滤TCP 3389

与之前许多漏洞攻击一样,屏蔽相关应用程序的端口/服务(RDP,DEC/RPC)也可以阻止攻击。建议使用其当地网段策略来屏蔽不必要的端口和服务。

与许多其他基于凭据的攻击技巧一样(如NTLM Relay,pass-the-hash),执行攻击的能力依赖于特权用户用他们的凭据执行IT操作。为了更好地保护您的网络,您应该尽可能的减少特权账户的使用,并在合适的情况下使用非特权用户。如果您是一位经验丰富的IT管理员,您可能已经知道这可能是一项艰巨的任务。要使减少特权用户的使用成为可能,您需要首先确保您有工具可以确认特权账号在何时何地被使用


关于我们 | 联系我们 | 参观机房 | 如何交费 | 客户案例 | 诚聘英才 | 技术支持 | FAQ常见问题 | 合同文档
免费客户服务热线:4006-618-418  027-87315200  87315211  在线客服:
《中华人民共和国增值电信业务经营许可证》ICP证编号:鄂B1-20160016  
Copyright © 2006- 武汉网盾科技有限公司 All rights reserved.
武汉网盾科技有限公司