CVE-2012-0002:深入解析MS12-020关键问题
安全更新MS12-020解决了微软远程桌面协议(RDP)实现中的两个漏洞。其中CVE-2012-0002是一个影响所有Windows版本的关键远程代码执行漏洞。本文分享额外信息以实现以下目标:
- 强烈建议您优先应用此特定更新;
- 提供在应用更新前强化环境的选项。
需注意CVE-2012-0002是通过私下报告披露的,且我们未发现任何野外攻击。此外,远程桌面协议默认处于禁用状态。但由于该漏洞对攻击者的吸引力,我们预计30天内会出现代码执行漏洞利用程序。
预认证、网络可访问、以SYSTEM权限运行的服务
攻击者可在无需认证的情况下通过网络利用此漏洞。RDP因其实用性常被防火墙放行。该服务在几乎所有平台上默认以SYSTEM权限运行于内核模式(除下文所述例外)。经调查,我们确认该漏洞可直接被用于代码执行。开发有效利用程序并非易事——我们预计未来几天内不会出现,但30天内很可能出现。
好消息是远程桌面协议默认禁用,因此多数工作站不受影响。但我们强烈建议在启用远程桌面的系统上立即应用更新。
临时解决方案:在Windows Vista及更高版本启用网络级认证(NLA)
对于启用RDP的Windows Vista及更高版本系统,可通过启用远程桌面的网络级认证(NLA)来大幅降低风险。NLA要求在建立远程桌面会话前进行认证。启用NLA后,漏洞代码仍然存在,但攻击者需先通过服务器认证才能尝试利用。
可通过交互方式或组策略启用NLA(详见http://technet.microsoft.com/en-us/library/cc732713.aspx)。我们提供了一键式“Fix it”解决方案,通过注册表方式启用NLA。该MSI包会枚举HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations下的所有“listener”注册表子键,并将“UserAuthentication” REG_DWORD设置为1。
启用NLA会默认阻止旧版客户端(包括Windows XP和Windows Server 2003)连接。NLA不会中断Windows Vista及更高版本发起的远程桌面连接,因为它们默认支持NLA。若需从Windows XP客户端连接到启用NLA的服务器,可在每个客户端安装凭据安全支持提供程序(CredSSP)支持(详见http://support.microsoft.com/kb/951608)。也可在Windows XP SP3客户端使用一键式Fix it解决方案启用NLA支持。
风险降低的平台和场景
远程桌面默认未启用,且客户端工作站上一般不启用。此外,有两种常见场景虽启用了远程桌面服务但风险较低:
- 提供终端服务网关(TS Gateway)服务的服务器不易受此漏洞影响。原因是外部用户通过端口443使用RPC over HTTPS封装的RDP连接TS网关。TS网关计算机会移除RDP流量的SSL加密,然后将流量转发到内部网络目标计算机的3389端口。终端服务会话是与目标计算机建立,而非TS网关系统。
- 使用RemoteFX功能的Windows Server 2008 R2 SP1服务器风险较低。这在虚拟化环境中常见。原因是漏洞代码以用户模式(非内核模式)运行,且具有NetworkService权限(非SYSTEM权限)。尽管NetworkService权限比SYSTEM权限危害小,但仍会为攻击者提供网络立足点——因此不应因风险降低而延缓更新应用。
我们正与MAPP合作伙伴积极构建基于网络的检测和保护签名。该漏洞特性允许强大的IDS和IPS防护。因此,另一个降低风险的场景是将系统置于已构建强检测能力的MAPP合作伙伴保护产品之后。
结论
我们敦促您及时应用此安全更新,并考虑如何强化环境以抵御未经认证的攻击者发起的RDP连接。如有疑问请联系switech –at- microsoft –dot- com。
- Suha Can and Jonathan Ness, MSRC Engineering
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
![]( "办公AI智能小助手")
