针对不可修补的 RDP 服务器的 CVE-2018-0886 缓解措施

信息安全 证书 已知漏洞 rdp
2021-09-12 06:13:11

最新的 Windows 10 客户端正在连接到卡在 1511 的 Windows 10 RDP 主机(主机无法更新,并且 1511 不支持接收修补程序,例如 CVE-2018-0886 缓解措施)。

公共互联网上的曝光到底是什么?除了安装软件补丁之外,还有其他方法可以减轻风险吗?

具体来说:我的理解是 CVE-2018-0886 需要一个中间人设置来发起攻击。如果客户端和主机都连接到受信任的提供者,它是否仍然为 MITM(提供者之间的中间节点)留下机会?

另外:在发起RDP连接时,经常会出现接受证书的提示(如this question所示),而且在同一对客户端和主机之间似乎时不时会重新出现。这向我表明,RDP 主机正在生成并定期重新生成自签名证书,在我看来,这似乎是 MITM 可以插入自身的点。是否有任何程序可以让主机生成一个长期存在的证书(即使是自签名的),该证书可以传输给客户端(通过安全连接),以便维持信任关系(没有提示信任自签名通过有问题的连接获得证书)?而且,在这样做的过程中,是否无需进行任何修补就可以缓解 CVE-2018-0886 漏洞?

2个回答

要求客户端在连接到服务器之前登录 VPN 。仅将 RDP 端口公开给通过 VPN 连接的主机。

这不仅可以保护您免受 CVE-2018-0886 的侵害,还可以保护您免受其他 RDP 漏洞的侵害,例如 CVE-2019-0708 (BlueKeep) 以及如果没有恶意行为者能够进入 VPN的未来将继续出现的漏洞.

请注意,这是一个很大的如果。即使是最受信任的用户可能会从中受到威胁的计算机,您也应该真正需要 VPN修补漏洞。但是缺少后者,至少您应该实现前者。

证书不会拯救你。我知道的唯一缓解措施是补丁。

请允许我引用发现此 CVE 的人的话: https ://blog.preempt.com/how-we-exploited-the-authentication-in-ms-rdp

由于 RDP 的实施方式,利用 NTLM 中继漏洞是可能的。我们来看看过程:

  1. 能力协商(通常选择CredSSP)
  2. 建立 TLS
  3. 网络层身份验证 (NLA) 使用 CredSSP 执行
  4. 客户端验证证书,如果需要显示警告

凭据在上面列出的第 3 步中发送,证书在第 4 步中进行验证。哎呀。这意味着基于证书的强制执行为时已晚——当您意识到证书错误时,您已经发送了凭据。

不确定证书重新提示发生了什么。

其它你可能感兴趣的问题
上一篇如何根除和恢复受损网络 下一篇可以通过 RDP 暴力破解密码吗?