近期,丹麦安全研究员Ollypwn发布了针对Windows RDP网关高危漏洞的DOS利用代码,其中涉及操作系统版本有Windows Server(2012,2012 R2,2016,2019),CVE编号有CVE-2020-0609和CVE-2020-0610。
远程桌面网关服务器通常位于公司内网或专用网络中,充当网关的角色,接受来自外部网络的RDP连接,转发到公司内部网络中的远程桌面终端上。
微软在公告中表示:“当未经身份验证的攻击者通过RDP连接到目标系统(远程桌面网关服务)并发送特殊设计的请求时,就会触发远程代码执行。值得一提的是,此漏洞不需要用户交互以及身份验证,成功利用后便可在目标系统上执行任意代码。最终可让攻击者往目标服务器安装恶意程序,查看、更改或删除敏感数据,创建具有高权限的新帐户等。”
微软在近期发布的1月份的补丁中解决了这两个漏洞。
而此次研究人员发布的PoC代码还包括一个扫描器,可用于检查机器是否容易受到CVE-2020-0609和CVE-2020-0610漏洞的影响。
通过Shodan进行查看,你可以发现15500多个疑似存在漏洞的设备。
为了降低被攻击的风险,可以禁用UDP访问或只开放特定端口。
研究人员Marcus Hutchins表示:“简单地拦截UDP流量或在防火墙上管控UDP端口(通常为3391端口)足以防御攻击。”
目前看来,微软对这个漏洞的完整利用面还不是很清楚。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/96787/hacking/rdp-gateway-flaws-poc.html