安全廠商Cymulate發現微軟遠端桌面用戶端(Remote Desktop Client)一項漏洞,讓駭客可以繞過安全驗證而在Windows系統執行惡意程式碼,圖為研究人員展示的攻擊手法影片。

以色列安全廠商Cymulate發現,微軟遠端桌面用戶端(Remote Desktop Client)一項漏洞,讓駭客可以繞過安全驗證而在Windows系統執行惡意程式碼。不過微軟認為攻擊不易,因而拒絕修補。

在建立遠端桌面連線時,微軟遠端桌面用戶端(舊稱Microsoft Terminal Service Client,MSTSC)需要呼叫mstscax.dll等DLL檔案,使Windows和遠端電腦或虛擬機器建立網路連線。這家廠商發現攻擊者可以透過微軟RDP(Remote Desktop Protocol)執行DLL側載(DLL Side-Loading),繞過安全檢查執行惡意程式碼。

Cymulate研究人員指出,現行Windows設計下,執行檔載入mstscax.dll並不會驗證函式庫程式碼的安全性,因此攻擊者可將C:\Windows\System 32資料夾中的mstscax.dll以同名惡意檔案置換掉,在合法程序掩護下執行惡意行為。

研究人員通報微軟後,微軟並未加以修補,理由是在Windows\System 32資料夾下置換DLL檔案需要管理員權限,因此不認為是威脅。

但研究人員指出有不需要管理權限的攻擊方法。只要將mstscax.dll複製到外部資料夾,則mstsc.exe就不是從system 32資料夾載入DLL檔,也就不需管理員權限。這麼一來,駭客就可以在已獲得簽章的mstsc.exe中執行惡意程式碼,並繞過AppLocker等安全檢查。

DLL side-loading為新興攻擊手法,近年一些APT惡意程式即透過DLL Side-loading技術,將惡意程式隱藏在一些常見程式的根目錄中,如Version.dll、Comres.dll、rasaut64.dll和rasaut.dll(64位元),利用電腦開機優先載入系統system.dll程式的特性,優先載入這些偽裝成正常程式的惡意程式。

安全專家建議,為防Windows遠端桌面的漏洞遭到濫用,企業可以關閉mstsc.exe、並利用安全監控工具來防止mstsc.exe的異常行為,此外,也應詳細檢查資料夾下的mstscax.dll是真的還是冒牌貨。


Advertisement

更多 iThome相關內容