远程桌面协议中的CredSSP漏洞会影响所有版本的Windows

CredSSP协议设计用于RDP（远程桌面协议）和Windows远程管理（WinRM），后者负责将加密的凭据从Windows客户端安全地转发到目标服务器，以进行远程身份验证。

网络安全公司Preempt Security的研究人员发现，问题（CVE-2018-0886）是CredSSP中的一个逻辑密码漏洞，中间人攻击者可以利用该漏洞通过Wi-Fi或物理访问网络窃取会话身份验证数据，并执行远程过程调用攻击。
当客户端和服务器通过RDP和WinRM连接协议进行身份验证时，中间人攻击者可以执行远程命令来破坏企业网络。

Preempt首席安全研究员Yaron Zinar说：“从具有足够权限的用户处窃取会话的攻击者可以使用本地管理员权限运行不同的命令。这在域控制器的情况下尤其重要，因为大多数远程过程调用（DCE/RPC）都是默认启用的”。

“这可能使企业容易受到攻击者的各种威胁，包括关键服务器或域控制器上的横向移动和感染”。

由于RDP是执行远程登录的最流行应用程序，而且几乎所有企业客户都在使用RDP，因此大多数网络都容易受到此安全问题的攻击。
Preempt的研究人员在去年8月发现并向微软报告了这个以前未知的远程代码执行漏洞，但这家科技巨头就在今天发布了该协议的修复程序，作为其周二发布的补丁的一部分，这几乎是在7个月的报道之后。

为了保护您自己和您的组织免受CredSSP攻击，建议用户使用Microsoft提供的可用更新修补其工作站和服务器。

尽管研究人员还警告说，单靠补丁不足以防止这种攻击，但IT专业人员也需要进行一些配置，以应用补丁并受到保护。

阻止包括RDP和DCE/RPC在内的相关应用程序端口也会阻止攻击，但研究人员表示，这种攻击甚至可以通过不同的方式、使用不同的协议来实现。

因此，为了更好地保护您的网络，最好尽可能减少特权帐户的使用，并在适用时使用非特权帐户。

作为2018年3月补丁周二的一部分，微软还为其其他产品发布了安全补丁，包括微软IE和Edge浏览器、Windows操作系统、微软Office、PowerShell、Core ChakraCore以及Adobe Flash player。