Microsoft忽略RDP漏洞直到它影响Hyper-V

 
Microsoft的远程桌面协议(RDP)中的漏洞也可用于转义在Hyper-V(Azure和Windows 10中的虚拟化技术)上运行的虚拟机。
该错误是导致远程执行的路径遍历，并且在大约一年前向Microsoft报告仅影响RDP并且直到最近才被发现它会影响Microsoft的Hyper-V产品。
最初，微软验证了这一发现，但驳回了一项修正案，激励它“不符合我们的服务标准”。
来自Check Point的Eyal Itkin于2月发布了关于该漏洞的技术细节，作为涵盖多个RDP漏洞的大型研究的一部分。他的重点是实现反向RDP攻击，远程连接的服务器可以控制客户端。
这是可能的，因为通过RDP连接的两台计算机共享剪贴板，这意味着可以将在远程服务器上复制的任何内容粘贴到本地客户端上。
Hyper-V虚拟机中的RDP
虚拟化和远程桌面技术之间的联系并不是很明显，但在Hyper-V的情况下，前者依赖于后者来增强功能。
但是，Hyper-V中的增强会话模式可实现与虚拟机的RDP连接。这用于在两个系统之间共享设备和文件。
在激活增强会话模式的情况下，两个产品之间的关系变得明显，因为Hyper-V虚拟机和通过Microsoft的RDP客户端(mstsc.exe)的远程连接都可以使用相同的设置窗口。
它还用于同步剪贴板内容，默认情况下它已打开。 Itkin应用于Hyper-V上下文，相同的概念验证脚本证明了RDP中的缺陷并且它的工作方式相同。
但是，在这种情况下，研究人员实现了访客到主机虚拟机的迁移。在下面的PoC视频中，研究人员展示了如何简单地粘贴连接到恶意虚拟机的主机上的文件，使攻击者能够在主机的Startup文件夹中添加恶意文件，从而确保在下次重新启动时执行。
Itkin告诉BleepingComputer，攻击者可以利用此漏洞破坏公司中特权用户的计算机。
通过强制管理员连接到其控制下的计算机或虚拟机，攻击者可以升级攻击。
“一旦有人使用RDP连接到计算机，攻击就会开始。如果受害者，连接客户端在连接打开时发出”粘贴“操作，甚至粘贴在他的计算机上，他们也很容易受到攻击。攻击者可能会使用漏洞在共享剪贴板中将任意文件放到目标计算机上的任意位置，有效地接管它。“ – Eyal Itkin
在发布新的调查结果后，微软改变了最初的立场，并发布了一个针对该漏洞的识别号码(CVE-2019-0887)以及一个包含7月安全更新的补丁。
“虽然任何安全研究人员都很难错过微软测试和提高其Hyper-V技术安全性的努力，但我们可以从这项研究中学到一个重要的教训。俗话说：你的系统只有最弱的系统换句话说，通过依赖其他软件库，Hyper-V Manager可以继承RDP及其使用的任何其他软件库中的所有安全漏洞。“
如果只能在以后安装最新更新，研究人员表示禁用默认启用的共享剪贴板会中和漏洞。
有关攻击的详细信息以及启用它的潜在缺陷将在Black Hat USA安全会议上展示，Itkin和微软安全软件工程师Dana Baril从攻击者和防御者的角度进行讨论。
微软在一篇题为“行业协作中的案例研究：中毒RDP漏洞披露和响应”的文章中写到了这个漏洞。
他们还向BleepingComputer发出以下声明：
“安全更新于7月发布。应用更新或启用自动更新的客户将受到保护。我们继续鼓励客户打开自动更新，以确保他们受到保护。“