CVE-2019-0708漏洞：RDP＝Really DO Patch？

CVE-2019-0708是RDP協議的安全漏洞，具有蠕蟲功能，因此危害很大。微軟快速發布了該漏洞的補丁。但研究人員認為惡意攻擊者可能已經將該漏洞武器化，在不久的將來可能就會看到再野漏洞利用了。

受影響的操作系統有：

·Windows 2003

·Windows XP

·Windows 7

·Windows Server 2008

·Windows Server 2008 R2

蠕蟲是可以在網路上進行傳播的病毒。蠕蟲可以在沒有用戶幫助的情況下自動在遠程機器上執行。如果病毒的主要攻擊向量是通過網路，那麼就可以將其分類為蠕蟲。

概述

RDP協議連接了客戶端和終端，定義了虛擬信道之間通信的數據。Windows Server 2000使用的RDP協議版本為RDP 5.1，定義了32個靜態虛擬信道（Static Virtual Channels，SVC）。SVC在會話開始時創建在會話結束後斷開，而DVC（動態虛擬信道）可按需創建和斷開。

如圖1所示，RDP Connection Sequence連接的初始化在Security Commencement之前，因此CVE-2019-0708可以在3389埠上進行網路自傳播，因此具有蠕蟲的相關性質。

該漏洞是由於RDP協議的GCC Conference Initialization過程中，MS_T120 SVC name被綁定為引用信道31。信道名是微軟內部使用的，因此對客戶端來說沒有明顯的合法用例在名為MS_T120的SVC上建立連接。

圖2是沒有MS_T120信道的GCC Conference Initialization序列的合法信道請求。

但在GCC Conference Initialization階段，客戶端會提供不在伺服器白名單中的信道名，也就是說攻擊者可以在除31外的其他信道上建立另一個名為MS_T120的SVC信道。在除31外的其他西島上使用MS_T120會導致堆內存破壞和遠程代碼執行。

圖3是信道號為4的GCC Conference Initialization階段的信道名為MS_T120的異常信道請求。

MS_T120信道管理中的組件如圖4所示。MS_T120引用信道在rdpwsx.dll中創建，堆池分配在rdpwp.sys中。當MS_T120引用引導在除31外的其他信道索引環境中時termdd.sys就會出現堆破壞。

微軟補丁如圖5所示，在使用信道名為MS_T120的客戶端連接請求中添加了一層檢查來確保它只與termdd.sys中的_IcaBindVirtualChannels和 _IcaRebindVirtualChannels函數的31信道綁定。

研究人員分析了應用在Windows 2003和XP中的補丁，理解了補丁前後RDP協議分析的過程，然後決定創建POC進行測試。POC可以在受害者機器上遠程執行代碼來啟動計算器應用。

POC視頻參見：

https://www.youtube.com/embed/syF6rSM0JSM

研究人員調查後確認該漏洞利用是可以工作的，因此可能在有漏洞的機器上在沒有認證的情況下遠程執行代碼。如果啟用的話，網路級認證可以有效阻止該漏洞利用，但如果攻擊者有憑證就可以繞過這一步。

建議

研究人員確認系統補丁可以阻止該漏洞利用，研究人員建議用戶儘快更新系統補丁。

禁用外部使用RDP，內部使用RDP也要有所限制，如果不需要就禁用。如果RDP被禁用，漏洞利用就無法成功使用。

RDP協議的GCC Conference Initialization序列中含有MS_T120的客戶端請求如果信道不是31，就攔截該請求，除非有證據證明是合法請求。

因為可以在註冊表域修改RDP的默認埠，重啟後就會與新指定的埠相關聯。從檢測的角度來看，這是高度相關的。

惡意軟體或企業管理員可以以admin許可權修改埠並在註冊表中寫入新埠，如果系統沒有打補丁，漏洞仍然可以被利用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！