当前位置:安全资讯 >> 全文

远程桌面协议存在严重的 CredSSP 缺陷 所有 Windows 版本受影响

发布时间:2018-3-14 7:55 标签: 漏洞,CredSSP
分享到 0

凭证安全支持提供商协议 (CredSSP) 中存在一个严重漏洞,影响所有 Windows 版本,可导致远程攻击者利用 RDP WinRAW 窃取数据并运行恶意代码。

漏洞可遭中间人攻击

CredSSP 协议旨在供 RDP(远程桌面协议)和 Windows 远程管理 (WinRM) 用于从 Windows 客户端安全地将加密凭证转发给目标服务器进行远程认证。

网络安全公司 PreemptSecurity 的研究人员发现了这个漏洞(CVE-2018-0886      ),它是存在于 CredSSP 中的逻辑密码缺陷,可遭拥有网络 WiFi 或物理访问权限的中间人攻击,导致会话认证数据被盗并遭受远程过程调用攻击。

当客户端和服务器经由 RDP WinRM 连接协议进行认证时,中间人攻击者可执行远程命令,从而攻陷企业网络。

Preempt 公司的首席安全研究员 Yaron Zinar 指出,“以充分权限窃取用户会话的攻击者能够以本地管理员权限运行不同的命令。在域名控制器的情况下这种问题尤为严重,因为默认情况下启用了多数远程过程调用 (DCE/RPC)。结果导致企业易受多种攻击,包括横向移动和感染关键服务器或域名控制器。”

影响范围广

由于 RDP 是执行远程登录最流行的应用,而且几乎所有的企业客户都在使用 RDP,因此多数网络易受影响。

Preempt 研究人员曾在去年8月份发现并将这个之前未知的远程代码执行漏洞提交给微软,但微软在这周的“补丁星期二”中才予以修复,距离报告日期已过去7个月之久。

建议减少对权限账户的使用

为阻止 CredSSP 漏洞的攻击,建议用户应用微软发布的更新修复工作站和服务器。研究人员也警告称打补丁本身并不足以阻止该攻击,IT 专业人员应该进行一些配置应用该补丁并免受攻击。虽然相关的应用端口包括 RDP DCE/RPC 也能阻挡攻击,但研究人员表示攻击可以使用不同的协议以不同方式实现。因此为了更好地包含网络安全,有必要尽量减少对权限账户的使用,而要尽可能地使用非权限账户。

微软在本周的“补丁星期二”中还为其它产品发布了补丁,包括 IE Edge 浏览器、Windows 操作系统、Windows OfficePowerShellCore ChakraCore 以及 Adobe Flash 播放器。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://thehackernews.com/2018/03/credssp-rdp-exploit.html
参与讨论,请先 登录 | 注册

用户评论