远程桌面协议中的CredSSP漏洞影响所有版本的Windows

近日，Windows远程连接证书安全支持提供程序协议（CredSSP）中被发现一个严重漏洞，该漏洞影响所有版本的Windows，并可能允许远程攻击者利用RDP和WinRM窃取数据并运行恶意代码。

你正在使用的Windows是否正处于危险之中呢？又该如何规避漏洞带来的影响？答案就在文末！

CredSSP协议是由RDP（远程桌面协议）和Windows远程管理（WinRM）使用，负责将Windows客户端加密的凭证安全地转发到目标服务器，进行远程验证。

Cybersecurity公司安全实验室的研究人员发现，这个问题（CVE-2018-0886）是CredSSP中的一个逻辑加密缺陷，攻击者可利用Wi-Fi或物理访问网络的方式，窃取会话身份验证数据，并执行远程过程调用攻击。

当客户端和服务器通过RDP和WinRM连接协议进行身份验证时，攻击者可以执行远程命令来危害企业网络。Preempt的首席安全研究员Yaron Zinar谈道：“当攻击者从权限较高的用户那窃取一个会话时，可以使用本地管理员权限运行不同的命令，这对于远程过程的安全防护有较大挑战 ，可能会让企业在远程时，受到来自攻击者的各种威胁攻击，包括关键服务器或域控制器上的横向移动和感染。”

研究人员在去年8月发现并向微软报告了这一此前未知的远程代码执行漏洞，在此漏洞存活了7个月之久后，微软在3月13日的补丁发布中，同时发布了针对该漏洞的修复程序。

预防办法

为了保护自己和公司避免CredSSP漏洞攻击，建议用户使用来自Microsoft的相关更新修补他们的PC和服务器。研究人员还警告说，单靠补丁不足以防止此类攻击，IT专业人员还需要进行相关配置使得该补丁受到保护：

1：阻止包括RDP和DCE / RPC在内的相关应用程序端口也会阻止这种攻击，但研究人员表示，这种攻击甚至可以通过不同的协议以不同的方式实施。

2：部署入侵防御系统防止被攻击。

因此，为了更好地保护您的网络，尽可能减少特权帐户的使用，并在适当的情况下使用非特权帐户。

对于漏洞危害，提早预防，才能及时规避，以降低自身以及企业的安全风险，右上角点击转发，将安全带给身边的朋友们。