深入解析 MS12-020 关键漏洞 CVE-2012-0002：远程桌面协议的安全风险与缓解方案

CVE-2012-0002：深入解析 MS12-020 关键问题

安全更新 MS12-020 解决了微软远程桌面协议（RDP）实现中的两个漏洞。其中 CVE-2012-0002 是一个影响所有 Windows 版本的关键远程代码执行漏洞。本文分享额外信息以实现以下目标：

• 强烈建议您优先应用此特定更新；

• 提供在应用更新前强化环境的选项。

需注意 CVE-2012-0002 是通过私下报告披露的，且我们未发现任何野外攻击。此外，远程桌面协议默认处于禁用状态。但由于该漏洞对攻击者的吸引力，我们预计 30 天内会出现代码执行漏洞利用程序。

预认证、网络可访问、以 SYSTEM 权限运行的服务

攻击者可在无需认证的情况下通过网络利用此漏洞。RDP 因其实用性常被防火墙放行。该服务在几乎所有平台上默认以 SYSTEM 权限运行于内核模式（除下文所述例外）。经调查，我们确认该漏洞可直接被用于代码执行。开发有效利用程序并非易事——我们预计未来几天内不会出现，但 30 天内很可能出现。

好消息是远程桌面协议默认禁用，因此多数工作站不受影响。但我们强烈建议在启用远程桌面的系统上立即应用更新。

临时解决方案：在 Windows Vista 及更高版本启用网络级认证（NLA）

对于启用 RDP 的 Windows Vista 及更高版本系统，可通过启用远程桌面的网络级认证（NLA）来大幅降低风险。NLA 要求在建立远程桌面会话前进行认证。启用 NLA 后，漏洞代码仍然存在，但攻击者需先通过服务器认证才能尝试利用。

可通过交互方式或组策略启用 NLA（详见http://technet.microsoft.com/en-us/library/cc732713.aspx）。我们提供了一键式“Fix it”解决方案，通过注册表方式启用 NLA。该 MSI 包会枚举 HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations 下的所有“listener”注册表子键，并将“UserAuthentication” REG_DWORD 设置为 1。

启用 NLA 会默认阻止旧版客户端（包括 Windows XP 和 Windows Server 2003）连接。NLA 不会中断 Windows Vista 及更高版本发起的远程桌面连接，因为它们默认支持 NLA。若需从 Windows XP 客户端连接到启用 NLA 的服务器，可在每个客户端安装凭据安全支持提供程序（CredSSP）支持（详见http://support.microsoft.com/kb/951608）。也可在 Windows XP SP3 客户端使用一键式 Fix it 解决方案启用 NLA 支持。

风险降低的平台和场景

远程桌面默认未启用，且客户端工作站上一般不启用。此外，有两种常见场景虽启用了远程桌面服务但风险较低：

1. 提供终端服务网关（TS Gateway）服务的服务器不易受此漏洞影响。原因是外部用户通过端口 443 使用 RPC over HTTPS 封装的 RDP 连接 TS 网关。TS 网关计算机会移除 RDP 流量的 SSL 加密，然后将流量转发到内部网络目标计算机的 3389 端口。终端服务会话是与目标计算机建立，而非 TS 网关系统。

2. 使用 RemoteFX 功能的 Windows Server 2008 R2 SP1 服务器风险较低。这在虚拟化环境中常见。原因是漏洞代码以用户模式（非内核模式）运行，且具有 NetworkService 权限（非 SYSTEM 权限）。尽管 NetworkService 权限比 SYSTEM 权限危害小，但仍会为攻击者提供网络立足点——因此不应因风险降低而延缓更新应用。

我们正与 MAPP 合作伙伴积极构建基于网络的检测和保护签名。该漏洞特性允许强大的 IDS 和 IPS 防护。因此，另一个降低风险的场景是将系统置于已构建强检测能力的 MAPP 合作伙伴保护产品之后。

结论

我们敦促您及时应用此安全更新，并考虑如何强化环境以抵御未经认证的攻击者发起的 RDP 连接。如有疑问请联系 switech –at- microsoft –dot- com。

• Suha Can and Jonathan Ness, MSRC Engineering 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

• 

  办公AI智能小助手