[資安漏洞] Windows遠端桌面(RDP)有漏洞,請務必進行更新

消息來源:北區學術資訊安全維運中心


學網中心轉知 Windows 遠端桌面(Remote Desktop Protocol, RDP)有漏洞,

微軟官方已發布修補此漏洞的更新檔,請有使用RDP的使用者務必使用Windows Update進行更新!

------

漏洞說明:
CVE-2022-21893為一個遠端程式碼執行(RCE,Remote Code Execution)的漏洞。攻擊者可利用此漏洞,繞過驗證並在未經授權的情況下執行任意命令。

漏洞原理:
1. 漏洞發生在當使用者開啟遠端連線時,會產生一個虛擬通道名稱為"TSVCPIPE-GUID"(GUID為流水號,無特別意義),而系統可允許同樣名稱的虛擬通道存在。
2. 如果存在同樣名稱的虛擬通道時,系統會依照先進先出(FIFO)的原則,讓最先產生的虛擬通道進行連線。
3. 當連線建立後,兩者之間的通訊將以明文的方式傳遞。

漏洞攻擊手法說明:
攻擊者可以假冒受害者要遠端連線的目標,讓受害者去連線到攻擊者準備好的惡意遠端桌面伺服器,而攻擊者代替受害者去連線到原先的目標,完成後攻擊者可以藉由竊取受害者的驗證資訊,進而假冒受害者的身分去執行任何任務。

影響範圍:
Windows 7後版本(包含Windows 7、 Windows 8(含8.1)、 Windows 10、 Windows 11)和Windows Server 2008 R2後版本(包含Windows Server 2008 R2、Windows Server 2012 (含R2)、Windows Server 2016、Windows Server 2019、Windows Server 2022)都受此漏洞影響。

建議措施:
1. 不要開啟來路不明的電子郵件及附加檔案、不要點擊不明連結及登入未經確認的網站、請不要下載非法軟體及檔案
2. 使用Windows Update自動更新,或到微軟官方網站下載更新檔案,並且手動安裝修補漏洞 (微軟官方在2022/01/10發布修補更新檔案)

資料來源:
1. 微軟官方說明:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21893
2. 漏洞分析說明(CYBERARK):https://www.cyberark.com/resources/threat-research-blog/attacking-rdp-from-inside


聯絡人:蔡明軒 3366-3896