研究人员发布针对Windows RDP网关漏洞的DOS利用脚本

近期，丹麦安全研究员Ollypwn发布了针对Windows RDP网关高危漏洞的DOS利用代码，其中涉及操作系统版本有Windows Server（2012，2012 R2，2016，2019），CVE编号有CVE-2020-0609和CVE-2020-0610。

远程桌面网关服务器通常位于公司内网或专用网络中，充当网关的角色，接受来自外部网络的RDP连接，转发到公司内部网络中的远程桌面终端上。

微软在公告中表示：“当未经身份验证的攻击者通过RDP连接到目标系统（远程桌面网关服务）并发送特殊设计的请求时，就会触发远程代码执行。值得一提的是，此漏洞不需要用户交互以及身份验证，成功利用后便可在目标系统上执行任意代码。最终可让攻击者往目标服务器安装恶意程序，查看、更改或删除敏感数据，创建具有高权限的新帐户等。”

微软在近期发布的1月份的补丁中解决了这两个漏洞。

而此次研究人员发布的PoC代码还包括一个扫描器，可用于检查机器是否容易受到CVE-2020-0609和CVE-2020-0610漏洞的影响。

通过Shodan进行查看，你可以发现15500多个疑似存在漏洞的设备。

安全专家表示最好的防护手段就是安装微软发布的安全补丁。

为了降低被攻击的风险，可以禁用UDP访问或只开放特定端口。

研究人员Marcus Hutchins表示：“简单地拦截UDP流量或在防火墙上管控UDP端口（通常为3391端口）足以防御攻击。”

目前看来，微软对这个漏洞的完整利用面还不是很清楚。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/96787/hacking/rdp-gateway-flaws-poc.html