漏洞名 MS12-020(全称:Microsoft windows远程桌面协议RDP远程代码执行漏洞)。RDP协议是一个多通道的协议,让用户连上提供微软终端机服务的电脑。windows在处理某些对象时存在错误,可通过特制的RDP报文访问未初始化或已经删除的对象,导致任意代码执行,然后控制系统。
MS12-020漏洞针对于windows xp和windows sever 2003等系统。攻击者通过该漏洞对目标主机进行攻击,可导致目标主机蓝屏。
ms12-020漏洞是指操作系统的远程桌面协议存在重大漏洞,入侵者可以通过向远程桌面默认端口(3389)发一系列特定RDP包,从而获取超级管理员权限,进而入侵系统,因此3389成为突破口。
远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者(所在计算机称为用户端或’本地计算机’)连上提供微软终端机服务的计算机(称为服务端或’远程计算机’)。
大部分的Windows版本都有用户端所需软件,有些其他操作系统也有这些用户端软件,例如Linux,FreeBSD,MacOSX,服务端计算机方面,则听取送到TCPport3389的数据。
windows从NT开始提供终端服务,它是微软买来的网络协议技术(Citrix),服务器端要安装、配置,客户端要连接程序。终端服务使任何一台有权限的终端机,用已知的账号登录服务器,可以使用账号内的资源,包括软件,硬件资源;同时,在协议升级后,客户端连接后可以使用本地的资源,包括本地打印机、声音本地回放,本地磁盘资源和本地硬件接口。**所有的计算都在服务器端进行,客户端只需要处理网络连接、接收数据、界面显示和设备数据输出。**目前,关于RDP服务的linux客户端程序有winconnect,linrdp,rdesktop,前两个没有源码,但redsktop已经由原来的个人开发后公开代码演变成现在的项目组开发。 远程桌面协议访问内存中未正确初始化或已删除的对象的方式存在远程代码执行漏洞。成功利用此漏洞的攻击者可以在目标系统上运行任意代码。然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。 攻击者如何利用此漏洞
对于运行受支持的 Windows XP 和 Windows Server 2003 版本的系统,未经身份验证的远程攻击者可以通过向目标系统发送一系列特制 RDP 数据包来利用此漏洞。 对于运行支持版本的Windows Vista、Windows 7、Windows Server 2008和 Windows Server 2008 R2 且网络级别身份验证关闭的系统,未经身份验证的远程攻击者可以通过向目标系统发送一系列特制 RDP 数据包来利用此漏洞。 对于运行支持版本的Windows Vista、Windows 7、Windows Server 2008和 Windows Server 2008 R2 且已启用网络级别身份验证的系统,攻击者首先需要使用目标系统上的有效帐户向远程桌面服务进行身份验证。然后,攻击者可以通过向目标系统发送一系列特制 RDP 数据包来利用此漏洞。
成功利用此漏洞的攻击者可以完全控制受影响的系统。然后,攻击者可能会安装程序、查看更改项或删除数据,还可能会使用完全用户权限创建新的帐户。
方法一
禁用终端服务、远程桌面、远程协助和 Windows Small Business Server 2003 远程工作网站功能;
方法 二
在运行 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 的受支持版本的系统上启用网络级别身份验证。 (1) 在 RD 会话主机服务器上,打开“远程桌面会话主机配置”。若要打开远程桌面会话主机配置,请单击“开始”,指向管理员istrativeTools,指向远程桌面服务,然后单击“远程桌面会话主机配置”。 (2) 在“连接”下,右键单击连接的名称,然后单击“属性”。 (3) 在“常规”选项卡上,选择“仅允许来自运行远程桌面且具有网络级别身份验证的计算机的连接”检查框。如果选择了“仅允许来自运行具有网络级别身份验证的计算机的连接”检查框,并且未启用,则使用网络级别身份验证组策略设置对远程连接的“要求用户身份验证”已启用,并且已应用于 RD 会话主机服务器。 原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/77760.html
