Windows平台最新发现的Credential Security Support Provider protocol (CredSSP) 漏洞,可以让黑客利用远程桌面协议(RDP)和Windows远程管理器(WinRM)远程盗窃数据或运行恶意代码。CredSSP协议最初是为了在Windows主机使用RDP或WinRM进行远程连接时提供加密认证。
这个漏洞(CVE-2018-0886)是由一家名为Preempt Security的网络安全公司的研究人员发现,在CredSSP协议中存在一个逻辑加密漏洞,黑客可以通过无线连接,利用该漏洞发起中间人攻击;如果能物理连入网络,还可以发起远程调用攻击(Remote Procedure Call),盗取计算机进程中的认证信息。
当主机或服务器使用Windows自带的RDP或WinRM协议进行远程连接,黑客的中间人攻击就可以远程执行恶意代码。一旦黑客获取了连接进程中的计算机账号登录认证信息,就拥有了管理员权限可以远程执行代码,由于Windows域控制器服务器默认状态下开启远程调用服务(DCE/RPC),因此这个漏洞对于企业的域控制器而言非常致命。而大多数企业的内部网络都会使用Windows RDP协议进行远程登录。
Preempt的研究人员去年8月向微软报告了这个漏洞,但直到本周二的补丁日,微软才发布了该漏洞的补丁。
如果用户的服务器是Windows操作系统,请尽快更新系统;平时尽量不要使用RDP和DCE/RPC端口;远程登录时尽量不要使用管理员账号。
联系客服