信息來(lái)源：賽迪網(wǎng)

本周二為微軟例行的月度補(bǔ)丁日，當(dāng)天公布了共74個(gè)漏洞已被修復(fù)， 包括瀏覽器、Windows、服務(wù)器、Office以及Adobe Flash player等產(chǎn)品。其中CredSSP 協(xié)議（憑據(jù)安全支持提供者協(xié)議）的一個(gè)嚴(yán)重漏洞，其影響范圍極大，幾乎涉及到所有版本的Windows系統(tǒng)。

該漏洞于去年8月，由網(wǎng)絡(luò)安全公司Preempt Security的研究人員發(fā)現(xiàn)，微軟通過(guò)對(duì)協(xié)議數(shù)月的管理和優(yōu)化，最終修復(fù)了漏洞CVE-2018-0886并發(fā)布安全補(bǔ)丁。首先介紹一下CredSSP協(xié)議的工作原理，該協(xié)議設(shè)計(jì)用于RDP(遠(yuǎn)程桌面協(xié)議)和WinRM（Windows遠(yuǎn)程管理），協(xié)議負(fù)責(zé)從Windows用戶加密的安全轉(zhuǎn)發(fā)憑證發(fā)送到目標(biāo)服務(wù)器進(jìn)行遠(yuǎn)程身份驗(yàn)證。而本次曝出的漏洞，正是利用當(dāng)客戶端和服務(wù)器通過(guò)RDP和WinRM連接進(jìn)行身份驗(yàn)證時(shí)，存在被攻擊者利用遠(yuǎn)程盜取用戶數(shù)據(jù)和運(yùn)行惡意代碼的風(fēng)險(xiǎn)。

由于CredSSP協(xié)議存在一個(gè)邏輯加密的漏洞，存在被中間人攻擊的可能，通過(guò)Wi-Fi或物理訪問(wèn)網(wǎng)絡(luò)進(jìn)行竊取身份驗(yàn)證數(shù)據(jù)，攻擊者可從具有足夠特權(quán)的用戶（管理員）那里竊取會(huì)話，從而使用該權(quán)限運(yùn)行不同的命令。這可能會(huì)讓企業(yè)受到來(lái)自攻擊者的各種威脅，除了執(zhí)行遠(yuǎn)程命令來(lái)破壞企業(yè)網(wǎng)絡(luò)，還包括對(duì)關(guān)鍵服務(wù)器的橫向移動(dòng)和感染等。

為了保護(hù)用戶不受CredSSP協(xié)議漏洞的攻擊，微軟建議用戶使用來(lái)自Microsoft的更新來(lái)修補(bǔ)服務(wù)器。除了單一使用補(bǔ)丁來(lái)防止攻擊以外，維護(hù)人員也可以更改設(shè)置來(lái)阻止攻擊，例如：阻止包括RDP和DCE/RPC在內(nèi)的相關(guān)應(yīng)用程序端口。