信息來源：賽迪網(wǎng)

本周二為微軟例行的月度補丁日，當天公布了共74個漏洞已被修復， 包括瀏覽器、Windows、服務器、Office以及Adobe Flash player等產(chǎn)品。其中CredSSP 協(xié)議（憑據(jù)安全支持提供者協(xié)議）的一個嚴重漏洞，其影響范圍極大，幾乎涉及到所有版本的Windows系統(tǒng)。

該漏洞于去年8月，由網(wǎng)絡安全公司Preempt Security的研究人員發(fā)現(xiàn)，微軟通過對協(xié)議數(shù)月的管理和優(yōu)化，最終修復了漏洞CVE-2018-0886并發(fā)布安全補丁。首先介紹一下CredSSP協(xié)議的工作原理，該協(xié)議設計用于RDP(遠程桌面協(xié)議)和WinRM（Windows遠程管理），協(xié)議負責從Windows用戶加密的安全轉發(fā)憑證發(fā)送到目標服務器進行遠程身份驗證。而本次曝出的漏洞，正是利用當客戶端和服務器通過RDP和WinRM連接進行身份驗證時，存在被攻擊者利用遠程盜取用戶數(shù)據(jù)和運行惡意代碼的風險。

由于CredSSP協(xié)議存在一個邏輯加密的漏洞，存在被中間人攻擊的可能，通過Wi-Fi或物理訪問網(wǎng)絡進行竊取身份驗證數(shù)據(jù)，攻擊者可從具有足夠特權的用戶（管理員）那里竊取會話，從而使用該權限運行不同的命令。這可能會讓企業(yè)受到來自攻擊者的各種威脅，除了執(zhí)行遠程命令來破壞企業(yè)網(wǎng)絡，還包括對關鍵服務器的橫向移動和感染等。

為了保護用戶不受CredSSP協(xié)議漏洞的攻擊，微軟建議用戶使用來自Microsoft的更新來修補服務器。除了單一使用補丁來防止攻擊以外，維護人員也可以更改設置來阻止攻擊，例如：阻止包括RDP和DCE/RPC在內(nèi)的相關應用程序端口。