远程桌面协议中的CredSSP漏洞影响所有版本的Windows

近日,Windows远程连接证书安全支持提供程序协议(CredSSP)中被发现一个严重漏洞,该漏洞影响所有版本的Windows,并可能允许远程攻击者利用RDP和WinRM窃取数据并运行恶意代码。

你正在使用的Windows是否正处于危险之中呢?又该如何规避漏洞带来的影响?答案就在文末!

CredSSP协议是由RDP(远程桌面协议)和Windows远程管理(WinRM)使用,负责将Windows客户端加密的凭证安全地转发到目标服务器,进行远程验证。

Cybersecurity公司安全实验室的研究人员发现,这个问题(CVE-2018-0886)是CredSSP中的一个逻辑加密缺陷,攻击者可利用Wi-Fi或物理访问网络的方式,窃取会话身份验证数据,并执行远程过程调用攻击。

当客户端和服务器通过RDP和WinRM连接协议进行身份验证时,攻击者可以执行远程命令来危害企业网络。Preempt的首席安全研究员Yaron Zinar谈道:“当攻击者从权限较高的用户那窃取一个会话时,可以使用本地管理员权限运行不同的命令,这对于远程过程的安全防护有较大挑战 ,可能会让企业在远程时,受到来自攻击者的各种威胁攻击,包括关键服务器或域控制器上的横向移动和感染。”

研究人员在去年8月发现并向微软报告了这一此前未知的远程代码执行漏洞,在此漏洞存活了7个月之久后,微软在3月13日的补丁发布中,同时发布了针对该漏洞的修复程序。

预防办法

为了保护自己和公司避免CredSSP漏洞攻击,建议用户使用来自Microsoft的相关更新修补他们的PC和服务器。研究人员还警告说,单靠补丁不足以防止此类攻击,IT专业人员还需要进行相关配置使得该补丁受到保护:

1:阻止包括RDP和DCE / RPC在内的相关应用程序端口也会阻止这种攻击,但研究人员表示,这种攻击甚至可以通过不同的协议以不同的方式实施。

2:部署入侵防御系统防止被攻击。

因此,为了更好地保护您的网络,尽可能减少特权帐户的使用,并在适当的情况下使用非特权帐户。

对于漏洞危害,提早预防,才能及时规避,以降低自身以及企业的安全风险,右上角点击转发,将安全带给身边的朋友们。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180323A0BL1300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券