Microsoft远程桌面协议RDP远程代码可执行漏洞(CVE-2012-0002)(MS12-020)

Microsoft Windows操作系统是目前使用最广泛的操作系统之一，其远程桌面协议（Remote Desktop Protocol）被广泛用于用户远程管理计算机。近期在Windows操作系统的远程桌面协议中（Remote Desktop Protocol）被发现存在一个远程代码可执行漏洞。

 

在Windows XP *、Windows Server 2003 *以及未开启网络层认证（Network Level Authentication）的Windows Vista *、Windows Server 2008 *和Windows 7 *中，只要操作系统开启Remote Desktop Protocol (RDP)服务，远程攻击者在未经认证的情况下往服务器发送畸形恶意的数据包，便可以以系统权限或者NET SERVICE权限执行任意命令。

 

在开启网络层认证（Network Level Authentication）的Windows Vista *、Windows Server 2008 *和Windows 7 *中，远程攻击者需要以合法账户登录，才能发动攻击，远程执行任意命令。

 

由于Windows操作系统的巨大流行程度，而且此漏洞影响全部版本的Windows操作系统，因此需要引起相关用户的高度重视。目前软件厂商已经发布了升级补丁修复此问题，请相关用户进行补丁更新。

 

 

 

 

解决方法：

 

厂商已经发布了针对此漏洞的安全公告MS12-020和系统补丁，请用户立刻更新到系统最新版本来避免受到漏洞的影响：

 

http://technet.microsoft.com/en-us/security/bulletin/ms12-020

 

 

 

临时方案：

 

1.    在Windows系统中默认关闭远程桌面协议（Remote Desktop Protocol），不开启远程桌面协议（Remote Desktop Protocol）可不受漏洞影响。在Windows操作系统中，可禁用如下服务：Terminal Services, Remote Desktop, Remote Assistance, Windows Small Business Server 2003 Remote Web Workplace feature。

 

2.    可配置防火墙过滤来自非法用户向3389端口的请求。

 

3.    在Windows Vista *、Windows Server 2008 *和Windows 7 *上开启Network Level Authentication服务。

 

特别说明：windows 的某些系统微软已经不再出相关的补丁包了，建议采用临时方案或者升级到较新的系统平台，例如：windows server 2008 sp1，建议升级到windows  server 2008 sp2 并打上对应的补丁包。