譯文聲明

本文是翻譯文章，文章原作者mcafee，文章來(lái)源：securingtomorrow.mcafee.com?
原文地址：https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/

---

譯文僅供參考，具體內(nèi)容表達(dá)以及含義原文為準(zhǔn)

×

?

寫(xiě)在前面的話

在微軟今年五月份的漏洞更新安全公告中，提到了一個(gè)跟遠(yuǎn)程桌面協(xié)議（RDP）有關(guān)的漏洞。我們之所以要在這里專門針對(duì)這個(gè)漏洞進(jìn)行分析，是因?yàn)檫@個(gè)漏洞更新涉及到Windows XP以及其他多個(gè)Windows操作系統(tǒng)，而眾所周知，Windows XP已經(jīng)很多年沒(méi)有過(guò)更新了。那么為什么微軟這一次要修復(fù)這個(gè)高危漏洞呢？別著急，我們現(xiàn)在一起來(lái)看一看！

根據(jù)微軟發(fā)布的安全公告，這是一個(gè)非常嚴(yán)證的安全漏洞，它將導(dǎo)致攻擊者在目標(biāo)設(shè)備上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，并植入蠕蟲(chóng)等惡意軟件。這也就意味著，一旦目標(biāo)組織的其中一臺(tái)設(shè)備受到了感染，整個(gè)網(wǎng)絡(luò)系統(tǒng)內(nèi)其他未受安全保護(hù)的計(jì)算機(jī)設(shè)備也將“無(wú)一幸免”。在這份安全公告中，微軟提到了著名的網(wǎng)絡(luò)蠕蟲(chóng)“WannaCry”。在2017年三月份，微軟修復(fù)了針對(duì)該惡意軟件的相關(guān)漏洞（MS17-010），但是在此之前，很多攻擊者都在使用“WannaCry”進(jìn)行網(wǎng)絡(luò)攻擊。

鑒于該漏洞的安全威脅等級(jí)（高危漏洞），攻擊者很有可能會(huì)在這段時(shí)間內(nèi)開(kāi)發(fā)出相應(yīng)的漏洞利用工具，McAfee高級(jí)威脅研究團(tuán)隊(duì)也對(duì)該漏洞以及相關(guān)的威脅場(chǎng)景進(jìn)行了深度分析，我們建議廣大用戶盡快修復(fù)漏洞CVE-2019-0708。

?

受影響的操作系統(tǒng)

Windows 2003
Windows XP
Windows 7
Windows Server 2008
Windows Server 2008 R2

?

RDP協(xié)議

遠(yuǎn)程桌面協(xié)議（RDP, Remote Desktop Protocol）是一個(gè)多通道（multi-channel）的協(xié)議可以幫助用戶（客戶端或稱“本地電腦”）與提供微軟終端機(jī)服務(wù)的電腦（服務(wù)器端或稱“遠(yuǎn)程電腦”）建立通信連接。目前，市場(chǎng)上大部分的Windows都安裝了遠(yuǎn)程桌面協(xié)議。其他操作系統(tǒng)也有相關(guān)的客戶端軟件，例如Linux、FreeBSD和Mac OS X等等。
該協(xié)議是對(duì)國(guó)際電信聯(lián)盟發(fā)布的一個(gè)國(guó)際標(biāo)準(zhǔn)的多通道會(huì)議協(xié)議T.120 的一個(gè)擴(kuò)展。RDP協(xié)議在終端服務(wù)推出后已有四個(gè)版本，即4.0、5.0、5.1、5.2。一般來(lái)說(shuō)，版本是根據(jù)windows的版本確定的。從客戶端的角度來(lái)說(shuō)，5.X版本間提供的功能差別不是很大，相對(duì)于4.0版本，它提供了用戶帶密碼直接登錄、客戶端驅(qū)動(dòng)器資源映射、客戶端音頻回放、最高24位色顯示和符合FIPS加密級(jí)別連接。另外，從4.0協(xié)議開(kāi)始變提供的客戶羰功能有：高、中、低三種數(shù)據(jù)加密級(jí)別，客戶端自定義初始登錄環(huán)境，客戶端打印機(jī)映射，客戶端LPT端口映射，客戶端com端口映射，剪貼板映射，客戶登錄的個(gè)性化設(shè)置(包括鍵盤、顯示界面大小等)。7.0版：這是最新的版本，僅支持Windows Server 2008 R2 或 Windows 7及以上版本。

?

漏洞概覽

蠕蟲(chóng)病毒可以在受感染的網(wǎng)絡(luò)系統(tǒng)內(nèi)進(jìn)行自我復(fù)制和傳播，并在受感染的遠(yuǎn)程主機(jī)上自動(dòng)運(yùn)行，而不需要用戶任何的額外交互。如果一款惡意軟件的主要攻擊載體是網(wǎng)絡(luò)的話，那么它就應(yīng)該被歸類為蠕蟲(chóng)。

遠(yuǎn)程桌面協(xié)議（RDP）定義了通信雙方在虛擬信道間的數(shù)據(jù)通信方式，支持客戶端建立點(diǎn)到點(diǎn)的連接。這種虛擬信道為雙向數(shù)據(jù)通道，可以擴(kuò)展RDP的功能。Windows Server 2000在RDP v5.1中定義了32種靜態(tài)虛擬信道（SVC），但是由于其中涉及還到大量動(dòng)態(tài)虛擬信道（DVC），因此可用的信道數(shù)量以及種類會(huì)受到一定限制。SVC是在會(huì)話開(kāi)始時(shí)創(chuàng)建的，并在會(huì)話終止前保持不變，但DVC不同，因?yàn)樗歉鶕?jù)用戶需求來(lái)創(chuàng)建和刪除的。

?

漏洞分析

漏洞CVE-2019-0708涉及到了RDP驅(qū)動(dòng)器termdd.sys中的_IcaBindVirtualChannels 和_IcaRebindVirtualChannels。我們可以從下圖中看到，系統(tǒng)初始化了RDP連接序列，并且會(huì)在安全機(jī)制啟用前完成信道的建立，這就導(dǎo)致了漏洞CVE-2019-0708的可蠕蟲(chóng)化，因?yàn)樗梢酝ㄟ^(guò)開(kāi)放端口3389在目標(biāo)網(wǎng)絡(luò)系統(tǒng)內(nèi)實(shí)現(xiàn)自我復(fù)制和傳播。

先給大家簡(jiǎn)單介紹一下“MS_T120”這個(gè)靜態(tài)虛擬信道，它的RDP信道編號(hào)為31，位于GCC會(huì)話初始序列中。這是一個(gè)微軟內(nèi)部使用的信道名稱，而且在客戶端通過(guò)一個(gè)SVC來(lái)請(qǐng)求建立連接時(shí)，不會(huì)顯示關(guān)于“MS_T120”這個(gè)信道的使用信息。

下圖顯示的是GCC會(huì)話初始化序列的信道請(qǐng)求信息，我們可以看到其中不涉及到任何關(guān)于MS_T120信道的信息。

但是在GCC會(huì)話初始化的過(guò)程中，客戶端提供的信道名稱并不在服務(wù)器端的白名單中，因此攻擊者將能夠設(shè)置另一個(gè)名為“MS_T120”的SVC信道（而不是之前編號(hào)為31的合法信道）來(lái)讓目標(biāo)系統(tǒng)發(fā)生堆內(nèi)存崩潰，或?qū)崿F(xiàn)遠(yuǎn)程代碼執(zhí)行。

下圖顯示的是GCC會(huì)話初始化過(guò)程中的非正常信道請(qǐng)求（“MS_T120”信道編號(hào)為4）：

MS_T120信道管理中涉及到的組件我們?cè)谙聢D中進(jìn)行了標(biāo)注。MS_T120參考信道會(huì)在rdpwsx.dll中創(chuàng)建，堆內(nèi)存也會(huì)在rdpwp.sys中分配內(nèi)存池。當(dāng)MS_T120參考信道在信道編號(hào)非31的場(chǎng)景下建立時(shí)，便會(huì)發(fā)生堆內(nèi)存崩潰。

下圖顯示的是微軟的漏洞修復(fù)情況，微軟在termdd.sys的_IcaBindVirtualChannels和_IcaRebindVirtualChannels函數(shù)中的客戶端連接請(qǐng)求部分添加了針對(duì)信道名稱“MS_T120”的檢測(cè)代碼，并確保該信道會(huì)跟信道序列31進(jìn)行綁定。

在對(duì)Windows 2003和Windows XP的漏洞補(bǔ)丁進(jìn)行了分析之后，我們弄清楚了RDP協(xié)議在安裝補(bǔ)丁之前以及安裝補(bǔ)丁之后的信道解析流程，因此我們打算針對(duì)這個(gè)漏洞開(kāi)發(fā)一份漏洞概念驗(yàn)證代碼，并嘗試在目標(biāo)設(shè)備上利用該漏洞來(lái)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，然后啟動(dòng)計(jì)算器程序。

下圖為我們PoC程序的執(zhí)行截圖：

經(jīng)過(guò)簡(jiǎn)單配置之后，我們?cè)谀繕?biāo)設(shè)備上啟用了遠(yuǎn)程桌面協(xié)議，并且在運(yùn)行概念驗(yàn)證代碼前確保了該設(shè)備沒(méi)有安裝漏洞補(bǔ)丁。

我們通過(guò)研究分析，確認(rèn)了PoC代碼的有效性，并成功在目標(biāo)系統(tǒng)上實(shí)現(xiàn)了遠(yuǎn)程代碼執(zhí)行。但是，如果目標(biāo)系統(tǒng)啟用了網(wǎng)絡(luò)等級(jí)認(rèn)證功能，那么這份PoC代碼就無(wú)法正常運(yùn)行了。不過(guò)攻擊者如何能夠獲取到目標(biāo)網(wǎng)絡(luò)系統(tǒng)的管理員憑證，那么他們?nèi)匀荒軌蚶@過(guò)這種安全保護(hù)機(jī)制。

由于微軟已經(jīng)針對(duì)該漏洞發(fā)布了相應(yīng)的漏洞補(bǔ)丁，因此我們就不再詳細(xì)討論針對(duì)該漏洞的利用方法了，而且出于對(duì)廣大用戶的安全性負(fù)責(zé)的角度考慮，我們也不打算對(duì)外公開(kāi)我們的PoC代碼。

?

緩解方案

1、 確保我們的Windows系統(tǒng)已安裝了針對(duì)漏洞CVE-2019-0708的安全補(bǔ)丁，我們強(qiáng)烈建議廣大用戶盡快安裝該補(bǔ)丁。

2、 禁止設(shè)備在外網(wǎng)使用遠(yuǎn)程桌面協(xié)議，并將其限制在內(nèi)網(wǎng)使用。如果可以的話，建議廣大用戶直接禁用遠(yuǎn)程桌面協(xié)議，因?yàn)樵搮f(xié)議如果被禁用，那么設(shè)備安全也就完全不會(huì)受到該漏洞的影響了。

3、 在遠(yuǎn)程桌面協(xié)議的GCC會(huì)話初始化序列時(shí)，將“MS_T120”與信道編號(hào)31進(jìn)行綁定，如果請(qǐng)求的信道編號(hào)不正確，則禁止建立連接。

需要注意的是，我們還可以在注冊(cè)表中修改默認(rèn)的RDP端口，重啟之后我們就可以使用新的通信端口了：

但是，惡意軟件在獲取到了目標(biāo)系統(tǒng)的管理員權(quán)限之后，是可以修改這種配置參數(shù)的，并且在注冊(cè)表中寫(xiě)入新的通信端口。

?

McAfee用戶須知

McAfee NSP在2019年5月21日增加了如下所示的簽名驗(yàn)證保護(hù)，因此McAfee NSP用戶不會(huì)受到此類攻擊的影響：

0x47900c00 “RDP: Microsoft Remote Desktop MS_T120 Channel Bind Attempt”

本文翻譯自 securingtomorrow.mcafee.com，?原文鏈接?。如若轉(zhuǎn)載請(qǐng)注明出處。

總結(jié)

以上是生活随笔為你收集整理的转载——CVE-2019-0807的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。