RD Gateway被曝存在严重漏洞,腾讯安全提供无损检测工具

2020-01-15 12:22:59
微软公告了RD Gateway存在远程代码执行漏洞:CVE-2020-0609,CVE-2020-0610,腾讯安全团队目前已分析漏洞成因,该漏洞不需要用户交互,可以在不需要用户干预的情况下远程执行任意代码。目前全球有3万多台RD网关受影响,RD网关一旦被攻破,内网的机器都可能受到威胁。

0x00 背景

今天是2020年的第一个补丁日,也是Windows 7最后一个例行补丁日。

微软公告了RD Gateway存在远程代码执行漏洞:CVE-2020-0609CVE-2020-0610,腾讯安全团队目前已分析漏洞成因,该漏洞不需要用户交互,可以在不需要用户干预的情况下远程执行任意代码。目前全球有3万多台RD网关受影响,RD网关一旦被攻破,内网的机器都可能受到威胁。

Remote Desktop Gateway服务通常也被称为RD GatewayRD网关),用户可以通过RD Gateway从公司防火墙外部安全地连接到内部网络资源,RD网关的三个主要目的是:

1.在最终用户的设备和RD网关服务器之间建立加密的SSL隧道:为了通过任何RD网关服务器进行连接,RD网关服务器必须安装了最终用户的设备可以识别的证书。在概念的测试和证明中,可以使用自签名证书,但是在任何生产环境中都只能使用来自证书颁发机构的公共信任的证书。

2.在环境中对用户进行身份验证:RD网关使用收件箱IIS服务执行身份验证,甚至可以利用RADIUS协议来利用多因素身份验证解决方案,例如Azure MFA。除了创建的默认策略外,您还可以创建其他RD资源授权策略(RD RAP)和RD连接授权策略(RD CAP),以更具体地定义哪些用户应有权访问安全环境中的哪些资源。

3.在最终用户的设备和指定资源之间来回传递流量:只要建立连接,RD网关就会继续执行此任务。您可以在RD网关服务器上指定不同的超时属性,以在用户离开设备时维护环境的安全性。

0x01 影响范围

影响版本:Windows 2012 R2 – Windows Server 2019

影响地域分布:

根据腾讯御知网络资产风险监测系统检测,目前全球范围内约有32000RD网关服务器受到影响,由于RD网关服务一般面向大型政企事业单位,一旦攻击代码公开,这些主机随时都有可能成为攻击的目标,并且很容易进一步渗透内网造成严重损失。

0x02 漏洞详情

在实际的业务场景中,为了提升效率,RD Gateway在配置时通常会开启支持UDP+SSL

漏洞出现在当客户端向服务器发送一个或多个CONNECT_PKT_FRAGMENT包以建立连接,服务器没有验证该结构中的数据,导致攻击者可以构造特殊数据以造成服务端的越界读写。

0x03 漏洞检测

腾讯安全团队目前已分析漏洞成因,提醒相关用户尽快更新补丁,做好环境网络配置自查工作,我们同时提供远程无损检测工具,有需求的企事业单位的网络管理员可直接使用腾讯网络资产风险监测系统(https://cloud.tencent.com/product/narms)。

企业也可通过以下链接下载RD网关漏洞检测修复工具解决风险:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/Cve2020-0609_0610Fixer02.exe


1月16日,腾讯安全团队再次发布RD网关漏洞远程无损扫描工具,推荐企业网管下载该工具检测企业服务器是否存在该漏洞。

下载链接:

https://pm.myapp.com/invc/xfspeed/qqpcmgr/download/VulScanTool.exe

0x04 安全建议


1. 推荐企业用户采用腾讯御知检测是否有资产受该漏洞影响

2.企业用户可以使用腾讯御点终端安全管理系统扫描安装RD Gateway漏洞补丁,腾讯御点具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

3.使用电脑管家的RD网关漏洞修复工具:

4.使用腾讯安全发布的RD网关漏洞远程检测工具

注:当远程服务器3391端口未开时,扫描时间稍长


5.通过配置企业防火墙,阻断未经安全验证的IP连接RD网关服务的UDP传输端口(默认为3391

6.可暂时关闭RD网关服务的UDP传输设置(默认3391端口)

0x05 时间线

2020-01-15 微软官方发布安全公告

2020-01-15 腾讯安全发布漏洞安全通告及漏洞检测及修复方案

关于腾讯御知

腾讯御知是一款自动探测网络资产并识别风险的产品,能够对网络设备及应用服务进行持续性的资产探测、漏洞检测和内容风险监测,并提供专业的修复建议,降低企业安全风险,是企业检测网络资产风险的必备利器。

腾讯御知融合了腾讯内部安全最佳实践产品能力,服务于腾讯内部超过100万台自营服务系统,涵盖腾讯云、社交、游戏等重点业务。

企业用户可通过访问腾讯云https://cloud.tencent.com/act/free?from=10107->云产品体验专区->安全->网络资产风险监测系统,申请7天免费试用。

有关腾讯御知更多功能及应用场景可扫码查询官方网站:

参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609

最新资讯