微软远程桌面协议曝漏洞:影响所有Windows系统

去年8月份时，安全研究人员发现一个几乎影响所有版本Windows系统的高危安全漏洞，该漏洞的存在可能允许远程攻击者利用远程桌面协议和Windows远程管理来窃取数据并运行恶意代码。

一、CVE-2018-0886漏洞原理分析

网络安全公司Preempt Security的安全研究人员于2017年8月20日时，向微软应急安全响应中心提交了一个CVE编号为CVE-2018-0886的高危漏洞。

该漏洞存在于凭据全支持提供程序（CredSSP）中，属于远程代码执行漏洞，几乎影响到所有版本的Windows操作系统，远程攻击者可利用该漏洞在目标系统上中继用户凭据并执行代码。

简单来说，该高危漏洞的存在可能允许远程攻击者，利用Windows现行桌面协议（RDP）和Windows远程管理（WinRM）来窃取数据，并运行恶意代码！

也就是说，远程攻击者可以设置一个中间人，等待CredSSP会话的发生，一旦发生后就会窃取对话身份验证数据，并在用户最初的服务器上执行远程过程调用攻击连接到与RDP连接的服务器用户，从而获得本地管理员权限，然后就可以运行任意命令并窃取数据了。

二、微软已发布针对性补丁

在本月的周二补丁日时，微软已经发布了针对漏洞CVE-2018-0886的安全补丁，国家信息漏洞安全库也在昨日时对该漏洞信息进行了及时的跟进。

安全研究人员建议，用户应当尽快下载安装微软官方发布的安全补丁，从而对自己的工作站和服务器进行保护，另外， 阻止包括RDP和DCE / RPC在内的相关应用程序端口也能够在阻止这种攻击上面起到一定的作用。

由于此类攻击能够通过不同的协议以不同的方式实施攻击，因此安全研究人员还建议，用户应当尽可能的减少特权用户的使用。