microsoft,windows远程桌面协议中间人攻击漏洞

云计算中虚拟机的安全评估Aleksandar Donevski, Sasko Ristov and Marjan GusevSs. Cyril and Methodius University,Faculty of Information Sciences and Computer Engineering,Skopje, MacedoniaEmail: aleksandar.donevski@, sashko.ristov@im.mk,marjan.gushev@im.mk摘要——一个公司的安全边界是如果虚拟机迁移到云的前提下受损。

尽管云服务提供商（CSP）迁移的虚拟机提供了一定的保障水平，主要是从外部云，但是云服务消费者现在正受到新兴的挑战，由于多租户模式，即受到其他合租托管的虚拟机主机的威胁。

CSP也面临着云租户的威胁。

CSP和租户都可能因云的脆弱性而受到拖累。

这篇论文中我们分析由其他租户和外部云造成的虚拟机安全威胁。

同时，我们比较最常见的开源云提供给特定虚拟机的安全水平。

虚拟机的安全评估在不同的操作系统上实现。

关键词：云计算，OpenStack云，安全评估，虚拟化。

1.介绍云计算市场持续增长，为客户提供各式各样的功能。

例如，客户可以将他们的数据、虚拟机或备份数据外包给存储空间无限大的云。

无论他们使用的是什么类型的云和调度模型，云服务提供商必须保证访问控制权和确保删除。

一种可能的解决方法就是将安全作为一种服务来实现和维持对云的保护，从而满足客户提出的安全水平。

云中的虚拟机实例应当不仅能防御外部的攻击，同时也要抵抗合租的租户，无论他们是来自相同的云中的物理机还是不同的云。

除了传统的性能/成本效益的资源消耗，电信运营商也应该包括在虚拟机配置由客户指定的安全要求。

选择一个私有云提供了一种可能性来控制系统的安全性，但它缺乏可扩展性和弹性特征。

从一方面来说，公共云的使用提供了高扩展性和弹性，但从另一个方面是受安全由于大部分的控制已经转移到CSP。

微软Windows操作系统漏洞案例分析在计算机领域中，操作系统是一种核心软件，它控制并管理计算机系统的硬件和软件资源。

然而，即使由全球领先的技术公司微软开发和维护的Windows操作系统也并非完美无缺，经常会被发现存在各种漏洞。

本文将对一些微软Windows操作系统漏洞案例进行深入分析，探讨造成这些漏洞的原因以及微软的应对措施。

漏洞一：Conficker蠕虫病毒漏洞Conficker蠕虫病毒是在2008年发现的一种针对Windows操作系统的网络蠕虫。

它利用了Windows操作系统中的漏洞进行传播，迅速感染了全球数百万台计算机。

这个漏洞的严重性在于它可以突破用户密码，获取管理员权限，并以此控制被感染计算机上的操作。

造成Conficker蠕虫病毒漏洞的原因主要有两点。

一是微软在发布Windows操作系统时未能及时识别和修复相关漏洞，导致黑客利用了这些弱点进行攻击。

二是一些用户忽视了操作系统的安全更新以及安装有效的防病毒软件等措施，为黑客入侵提供了可乘之机。

微软针对Conficker蠕虫病毒漏洞采取了多种措施进行应对。

首先，他们修复了Windows操作系统中被利用的漏洞，并提供了相应的安全更新，用户可以通过自动更新系统来获得这些修补程序。

其次，微软还加强了对恶意软件的检测和清除能力，以便用户及时发现和清除被感染的计算机。

此外，微软还积极与政府、反病毒厂商和互联网服务提供商等各方合作，共同打击Conficker蠕虫病毒的传播。

漏洞二：永恒之蓝（EternalBlue）漏洞永恒之蓝是一种利用微软Windows操作系统远程执行代码的漏洞，该漏洞于2017年被曝光。

该漏洞的严重性在于黑客可以利用它在计算机网络间迅速传播恶意软件，从而导致整个网络受到破坏。

造成永恒之蓝漏洞的原因是微软的某些操作系统版本没有及时修复相关的安全漏洞，使黑客有机可乘。

此外，该漏洞的爆发也提醒了用户重视操作系统的安全性，及时更新系统和安装补丁程序等。

WindowsCVE-2019-0708远程桌⾯代码执⾏漏洞复现Windows CVE-2019-0708 远程桌⾯代码执⾏漏洞复现⼀、漏洞说明2019年5⽉15⽇微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌⾯服务（RDP）远程代码执⾏漏洞,该漏洞在不需⾝份认证的情况下即可远程触发,危害与影响⾯极⼤。

⽬前,9⽉7⽇EXP代码已被公开发布⾄metasploit-framework的Pull requests中,经测试已经可以远程代码执⾏。

⼆、漏洞影响版本Windows 7 for 32-bit Systems Service Pack 1Windows 7 for x64-based Systems Service Pack 1Windows Server 2008 for 32-bit Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for Itanium-Based Systems Service Pack 2Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows XP SP3 x86Windows XP Professional x64 Edition SP2Windows XP Embedded SP3 x86Windows Server 2003 SP2 x86Windows Server 2003 x64 Edition SP2注:Windows 8和windows10以及之后的版本不受此漏洞影响三、漏洞环境搭建攻击机:kali 2018.2靶机:win7 sp1 7061四、漏洞复现1、更新msfapt-get updateapt-get install metasploit-framework2、下载攻击套件wget https:///rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rbwget https:///rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rbwget https:///rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb wget https:///rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb 3、替换msf中相应的⽂件　cve_2019_0708_bluekeep_rce.rb 添加 /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rbrdp.rb 替换 /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rbrdp_scanner.rb 替换 /usr/share//metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rbcve_2019_0708_bluekeep.rb 替换 /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb4、启动msf,加载⽂件5、搜索0708,可以看到⽂件成功加载6、利⽤漏洞,设置rhosts、target、payload7、开始执⾏exp,成功获得shell五、漏洞防御注: CVE-2019-0708热补丁⼯具”是针对“Windows远程桌⾯服务的远程代码执⾏漏洞CVE-2019-0708”推出的热补丁修复⼯具，可以针对不能直接打补丁环境，提供的临时解决漏洞问题的⽅案。

Windows远程桌面服务存在高危漏洞8月教育网运行正常，未发现影响严重的安全事件。

近期教育网范围内相应的安全投诉事件数量继续呈下降趋势，这主要得益于各学校对安全工作的高度重视。

近期没有新增特别需要关注的病毒和木马程序。

针对5月爆出的Pulse Secure VPN的任意文件读取漏洞（CVE-2019-11539）的扫描攻击数量有增加趋势，攻击者可以利用该漏洞访问系统的私钥和用户口令，这些非法获取的信息可以进一步导致任意代码注入攻击。

Pulse Secure VPN在高校的用户数量较多，建议使用了该VPN的学校管理员尽快检查是否已经更新到了最新版本，避免漏洞被非法利用。

近期新增严重漏洞评述微软8月的例行安全公告修复了其多款产品存在的396个安全漏洞。

漏洞涉及Windows系统、Windows DHCP服务、Office软件、Windows图形组件、Jet 数据库等Windows平台下的应用软件和组件。

公告中需要特别关注的是Windows远程桌面服务中存在的四个高危漏洞（CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226）。

未经身份验证的攻击者利用上述漏洞，向目标Windows主机发送恶意构造请求，可以在目标系统上执行任意代码。

由于这些漏洞存在于RDP协议的预身份验证阶段，其利用过程无需进行用户交互操作，可被利用来进行大规模的蠕虫攻击。

目前漏洞的细节还未公布，相应的利用代码也还未出现，不过随着补丁的发布（通过对补丁的反编译可知道漏洞细节），漏洞的攻击代码很快就会出现。

类似的远程桌面漏洞（CVE-2019-0708）在5月的补丁中也出现过，目前该漏洞相关的攻击代码已经在网络上出现了多个版本。

基于上述漏洞的风险，建议用户尽快使用Windows系统的自动更新功能进行安全更新。

图源：网络最近Fortinet公司发布了FortiOS的版本更新，用于修补之前版本中存在的多个安全漏洞。

此安全更新可解决远程桌面协议中两个秘密报告的漏洞。

如果攻击者向受影响的系统发送一系列特制 RDP 数据包，则这些漏洞中较严重的漏洞可能允许远程执行代码。

默认情况下，任何 Windows 操作系统都未启用远程桌面协议 (RDP)。

没有启用 RDP 的系统不受威胁。

对于 Microsoft Windows 所有受支持的版本，此安全更新的等级为严重。

有关详细信息，请参阅本节中受影响和不受影响的软件小节。

该安全更新通过修改远程桌面协议处理内存中数据包的方式以及 RDP 服务处理数据包的方式来解决漏洞。

有关这些漏洞的详细信息，请参阅下一节漏洞信息下面特定漏洞条目的常见问题 (FAQ)小节。

建议。

大多数客户均启用了自动更新，他们不必采取任何操作，因为此安全更新将自动下载并安装。

尚未启用自动更新的客户必须检查更新，并手动安装此更新。

有关自动更新中特定配置选项的信息，请参阅 Microsoft 知识库文章 294871。

对于管理员、企业安装或者想要手动安装此安全更新的最终用户，Microsoft 建议客户使用更新管理软件立即应用此更新或者利用 Microsoft Update 服务检查更新。

RDP远程桌面安全远程桌面协议（RDP）是一种用于Windows操作系统的远程访问解决方案，它可以让用户从任何地方通过互联网连接和控制远程计算机。

然而，考虑到安全因素，我们需要深入了解RDP远程桌面的安全性，并采取措施以保护我们的系统和数据。

一、RDP安全威胁RDP远程桌面在提供便利的同时，也带来了一些潜在的安全威胁。

以下是一些常见的RDP安全问题：1. 密码猜测攻击：攻击者可能会使用弱密码列表或暴力破解工具来尝试猜测RDP登录密码，从而获取未经授权的访问权限。

2. 恶意软件：通过RDP协议，恶意软件可以传播到远程计算机，并在远程计算机上执行恶意操作，比如植入后门程序、窃取敏感信息等。

3. 端口暴露：默认情况下，RDP使用3389端口进行通信，攻击者可以扫描常用端口并找到RDP服务，进而发动攻击。

4. 未及时更新：如果未及时安装补丁和更新程序，远程桌面软件可能存在漏洞，被黑客利用进行攻击。

二、加强RDP远程桌面安全的措施为了保护远程桌面的安全性，我们可以采取以下措施：1. 使用强密码和多因素身份验证：确保RDP登录密码足够强大，并启用多因素身份验证，如指纹识别、智能卡等。

2. 限制登录尝试次数：限制登录尝试的次数，可以有效防止密码猜测攻击。

在一定次数的登录失败后，账户自动锁定或禁用。

3. 使用网络防火墙：配置防火墙规则，只允许来自特定IP地址或网络的RDP连接。

这样可以减少暴露在公共网络中的风险。

4. 定期更新操作系统和远程桌面软件：及时安装操作系统和远程桌面软件的补丁和更新，修复已知漏洞，提高系统的安全性。

5. 日志监控和审计：通过开启日志记录并进行监控和审计，可以及时发现异常登录行为，以及其他异常活动，及时采取应对措施。

6. 使用虚拟专用网络（VPN）：在使用RDP之前，建议先建立一个通过VPN连接到局域网的安全通道，增加数据传输的隐私和安全性。

7. 禁用未使用的功能：禁用系统中未使用的RDP功能，减少攻击面。

Windows远程桌⾯爆出CredSSP漏洞
Windows平台最新发现的Credential Security Support Provider protocol （CredSSP）漏洞，可以让⿊客利⽤远程桌⾯协议（RDP）和Windows远程管理器（WinRM）远程盗窃数据或运⾏恶意代码。

CredSSP协议最初是为了在Windows主机使⽤RDP或WinRM进⾏远程连接时提供加密认证。

这个漏洞（CVE-2018-0886）是由⼀家名为Preempt Security的⽹络安全公司的研究⼈员发现，在CredSSP协议中存在⼀个逻辑加密漏洞，⿊客可以通过⽆线连接，利⽤该漏洞发起中间⼈攻击；如果能物理连⼊⽹络，还可以发起远程调⽤攻击（Remote Procedure Call），盗取计算机进程中的认证信息。

当主机或服务器使⽤Windows⾃带的RDP或WinRM协议进⾏远程连接，⿊客的中间⼈攻击就可以远程执⾏恶意代码。

⼀旦⿊客获取了连接进程中的计算机账号登录认证信息，就拥有了管理员权限可以远程执⾏代码，由于Windows域控制器服务器默认状态下开启远程调⽤服务
（DCE/RPC），因此这个漏洞对于企业的域控制器⽽⾔⾮常致命。

⽽⼤多数企业的内部⽹络都会使⽤Windows RDP协议进⾏远程登录。

Preempt的研究⼈员去年8⽉向微软报告了这个漏洞，但直到本周⼆的补丁⽇，微软才发布了该漏洞的补丁。

如果⽤户的服务器是Windows操作系统，请尽快更新系统；平时尽量不要使⽤RDP和
DCE/RPC端⼝；远程登录时尽量不要使⽤管理员帐号。

CVE-2012-0002Windows远程桌⾯协议RDP远程代码执⾏漏洞——MS12_0。

CVE-2012-0002 Windows远程桌⾯协议RDP远程代码执⾏漏洞——MS12_020死亡蓝屏如果你问我，学习MSF最好的案例是什么，我肯定不假思索说出两个，MS12_020，MS17_010，这两个漏洞在如今的MSF6中，已经⼗分成熟化，攻击效果显著，能够极⼤提升初学者的成就感。

漏洞简介MS12-020为windows下2012年爆出⾼危安全漏洞，该漏洞是因为Windows系统的远程桌⾯协议（RDP， Remote Desktop Protocol）存在缓存溢出漏洞，攻击者可通过向⽬标操作系统发送特定内容的RDP包造成操作系统蓝屏，利⽤起来操作简单，危害极⼤，影响范围极⼴。

漏洞条件1、靶机具有MS12_020漏洞，windows2003、windows20082、靶机开启3389端⼝我这⾥是Windows2008，必须是“允许运⾏任意版本远程桌⾯的计算机连接”，否则⽆法执⾏成功漏洞复现1、搜索MS12_020漏洞，0号代表的是检测，1号代表的是攻击模块。

这⾥选择1号2、配置MSF参数3、MSF执⾏攻击命令，对⽅直接蓝屏，攻击成功漏洞修复2、3389不要开启任意⽤户连接，⼀定要选择⾝份验证的连接。

这样MSF就⽆法攻击了，可以看到下⽅，⼀直没有成功3、更绝对的防御，关闭3389，不过不太推荐这么去做，第⼆点就可以了关于3389端⼝的攻击总结1、弱⼝令暴⼒破解hydra（注意：在爆破巴西的服务器的时候，⽤户名是administrador⽽不是administrator）2、MS12_0203、通过3389传输⽂件例如传输远控从⽽上线。