Windows 內建遠端桌面連線工具(Remote Desktop Connection Manager,RDCMan)傳出有漏洞,微軟直接宣布將之除役,呼籲用戶改用新的MSTSC或Remote Desktop App。

RDCMan的漏洞編號CVE-2020-0765是由中國平安科技安全研究人員Ethan Sterling發現,出在解析包含外部參照的XML內容過程發生錯誤,成功開採本漏洞的攻擊者,可以透過注入XML外部實體(XXE)宣告來讀取任意檔案,造成資訊外洩。

RDCMan原是微軟Live Experience部門內部使用的工具,大約2009年前後開放下載。在還沒有其他類似工具前,RDCMan很受歡迎,但它作為遠端管理其實功能並不齊全。微軟後來在Windows內建了遠端管理工具MSTSC(Microsoft terminal services client),還釋出可單獨下載的遠端桌面(Remote Desktop)App。RDCMan自2014年11月釋出2.7後即未再更新。微軟去年即呼籲用戶轉到MSTSC或Remote Desktop App。

CVE-2020-0765影響的即是RDCMan 2.7。攻擊者可以新增包含改造過的XML內容的RDCMan組態(RDG)檔,以郵件或其他方式傳給用戶,誘使具有授權的用戶開啟檔案即可開採本漏洞。

雖然目前RDCMan還是擁有不少愛用者,但藉由這次漏洞,微軟畢其功於一役,宣佈終止RDCMan。微軟表示已讓該App除役,因此不會修補RDCMan漏洞。微軟再次呼籲客戶改用MSTSC或Remote Desktop App,開啟RDCMan組態檔(.rdg)時也要特別留意。


Advertisement

更多 iThome相關內容