首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2012-01)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Mircrosoft Windows遠程桌面協議遠程代碼可執行漏洞

發布日期:2012-03-14

CVE ID:CVE-2012-0002

受影響的軟件及系統:
====================
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

綜述:
======
Microsoft Windows操作系統是目前使用最廣泛的操作系統之一,其遠程桌面協議(Remote Desktop Protocol)被廣泛用于用戶遠程管理計算機。近期在Windows操作系統的遠程桌面協議中(Remote Desktop Protocol)被發現存在一個遠程代碼可執行漏洞。

由于Windows操作系統的廣泛的流行程度,而且此漏洞影響全部版本的Windows操作系統,因此需要引起相關用戶的高度重視。目前軟件廠商已經發布了升級補丁修復此問題,請相關用戶進行補丁更新。

分析:
======
遠程桌面協議(Remote Desktop Protocol)被設計用于允許用戶和其遠程計算機建立虛擬會話,從而允許用戶在本地計算機上處理遠程計算機上的數據和應用。

在Windows XP 、Windows Server 2003 以及未開啟網絡級別身份驗證(Network Level Authentication)的Windows Vista、Windows Server 2008和Windows 7中,只要操作系統開啟Remote Desktop Protocol (RDP)服務,遠程攻擊者在未經認證的情況下往服務器發送畸形惡意的數據包,便可以以系統權限或者NET SERVICE權限執行任意命令。

漏洞發生在Windows操作系統的遠程桌面協議(Remote Desktop Protocol)在處理一系列畸形數據包時,對某個對象未正確初始化或者未正確釋放,從而最終導致攻擊者通過利用漏洞在未經認證或者認證的情況下取得遠程計算機的控制權。

在開啟網絡級別身份驗證(Network Level Authentication)的Windows Vista、Windows Server 2008和Windows 7中,遠程攻擊者需要以合法賬戶登錄,才能發動攻擊,遠程執行任意命令。

解決方法:
==========
Windows用戶可以采用下面幾種臨時解決方案來減少漏洞威脅:

1. 在Windows系統中默認關閉遠程桌面協議(Remote Desktop Protocol),不開啟遠程桌面協議(Remote Desktop Protocol)可不受漏洞影響。在Windows操作系統中,可禁用如下服務:Terminal Services, Remote Desktop, Remote Assistance, Windows Small Business Server 2003 Remote Web Workplace feature。

2. 可配置防火墻過濾來自非法用戶向3389端口的請求。

3. 在Windows Vista、Windows Server 2008和Windows 7上開啟Network Level Authentication。在遠程桌面設置中,選擇“僅允許運行使用網絡級別身份驗證的遠程桌面的計算機連接”。注意:開啟網絡級別身份驗證之后,不支持CredSSP協議的客戶端將無法正常連接遠程桌面。Windows XP SP3支持CredSSP協議,但默認沒有開啟,需要手工開啟后才能正常連接,可參考:http://support.microsoft.com/kb/951608

廠商狀態:
==========
廠商已經發布了針對此漏洞的安全公告MS12-020和系統補丁,開啟windows自動更新服務的用戶系統會自動打上補丁,未開啟自動更新服務的用戶可以到廠商的相關頁面下載最新補丁:
http://technet.microsoft.com/zh-cn/security/bulletin/ms12-020

附加信息:
==========
http://technet.microsoft.com/zh-cn/security/bulletin/ms12-020
http://www.258434.live/index.php?act=alert&do=view&aid=121

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
海南七星彩彩票官网