近日，RDP 和 WInRM 使用的 CredSSP 协议（安全加密 Windows 用户远程登录过程）被发现存在一个严重的漏洞。该漏洞可能会影响到迄今为止所有版本的Windows。此外，远程攻击者可以利用这个漏洞，使用 RDP 和 WinRM 窃取数据并运行恶意代码。

CredSSP协议被RDP（远程桌面协议）和Windows远程管理（WinRM）使用，主要负责将Windows客户端的凭证转发到目标服务器以进行远程验证。

漏洞详情

这个漏洞是由网络安全公司Preempt Security的研究人员发现，漏洞编号为CVE-2018-0886，是CredSSP中的一个逻辑加密漏洞，可被中间人攻击，通过 WiFi 或物理访问网络来窃取会话并执行远程进程调用攻击。当客户端和服务器通过RDP和WinRM连接协议进行身份验证时，中间人攻击就能执行远程命令，入侵企业网络。

Preempt首席安全研究员Yaron Zinar说：

攻击者可以从有权限用户那里窃取会话，进而利用本地管理员身份运行不同的命令。这对于大多数远程调用（DCE / RPC）、默认启用域控制器尤为重要。

由于RDP是执行远程登录中最常用的应用程序，并且几乎所有的企业用户都在使用，因此，这个漏洞可能会造成大范围的影响。

Preempt的安全研究人员在去年8月发现了这个远程代码执行漏洞，并且在第一时间向微软进行了报告。目前，微软已经发布相关更新补丁，作为其周二补丁发布的一部分。

为了保护自己和企业免受CredSSP漏洞攻击，建议用户使用来自Microsoft的更新系统来修补他们的工作站和服务器。除此之外，单靠补丁是不足以防止此类攻击，还需要IT人员来更新配置运用该补丁，免受漏洞攻击。因此，为了更好地保护您的网络，最好尽可能减少特权帐户的使用。

作为2018年3月补丁的一部分，微软还发布了其他产品的安全补丁，包括微软IE，Edge浏览器，Windows操作系统，微软Office，PowerShell，Core ChakraCore以及Adobe Flash播放器。