1、漏洞描述
在Windows XP 、Windows Server 2003 以及未開啓網絡層認證(Network Level Authentication)的Windows Server 2008 和Windows 7 中,只要操作系統開啓Remote Desktop Protocol (RDP)服務,遠程攻擊者在未經認證的情況下往服務器發送畸形惡意的數據包,便可以以系統權限或者NET SERVICE權限執行任意命令。
在開啓網絡層認證(Network Level Authentication)Windows Server 2008 *和Windows 7 *中,遠程攻擊者需要以合法賬戶登錄,才能發動攻擊,遠程執行任意命令。
此漏洞影響全部版本的Windows操作系統
2、漏洞復現
(1)window server 2003 一臺,開啓遠程桌面;kali虛擬機一臺。
(2)確保兩臺虛擬機能互相ping通。
(3)利用kali裏面的nmap掃描開放的3389端口的主機
(4)查看是否存在ms12-020漏洞是否存在
(5)開始攻擊利用該漏洞,命令msfconsole啓動msf。
(6)使用攻擊模塊開始攻擊,命令use auxiliary/dos/windows/rdp/ms12_020_maxchannelids ,命令exploit開始攻擊;顯示Auxiliary module execution completed攻擊完成
(7)window server 2003操作系統出現藍屏
3、修復建議
解決方法:
廠商已經發布了針對此漏洞的安全公告MS12-020和系統補丁,請用戶立刻更新到系統最新版本來避免受到漏洞的影響:
http://technet.microsoft.com/en-us/security/bulletin/ms12-020
(1) 在Windows系統中默認關閉遠程桌面協議(Remote Desktop Protocol),不開啓遠程桌面協議(Remote Desktop Protocol)可不受漏洞影響。在Windows操作系統中,可禁用如下服務:Terminal Services, Remote Desktop, Remote Assistance, Windows Small Business Server 2003 Remote Web Workplace feature。
(2).可配置防火牆過濾來自非法用戶向3389端口的請求。
(3).Windows Server 2008 和Windows 7 上開啓Network Level Authentication服務。
特別說明:windows 的某些系統微軟已經不再出相關的補丁包了,建議升級到較新的系統平臺。