Microsoft 安全公告 MS15-082 - 重要

RDP 中的漏洞可能允许远程执行代码 (3080348)

发布日期:2015 年 8 月 11 日

版本: 1.0

执行摘要

此安全更新可修复 Microsoft Windows 中的漏洞。如果攻击者先在目标用户的当前工作目录中放置经特殊设计的动态链接库 (DLL) 文件,然后诱使用户打开远程桌面协议 (RDP) 文件或启动旨在加载受信任的 DLL 文件的程序加载攻击者经特殊设计的 DLL 文件,其中最严重的漏洞可能会允许远程执行代码。成功利用这些漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

对于 Microsoft Windows 所有受支持的版本(未受影响的 Windows 10 除外),此安全更新的等级为“重要”。有关详细信息,请参阅“受影响的软件”部分。

该更新通过更正远程桌面会话主机 (RDSH) 验证证书的方式以及 RDP 加载某些二进制文件的方式修复了此漏洞。有关该漏洞的详细信息,请参阅“漏洞信息”一节。

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3080348

受影响的软件

以下软件版本都受到影响。未列出的版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期

操作系统

最大安全影响

综合严重等级

替代的更新*

Windows Vista

Windows Vista Service Pack 2
(3075220)

欺骗

重要

MS13-029 中的 2813345

Windows Vista Service Pack 2
(3075221)[1]

欺骗

重要

MS13-029 中的 2813347

Windows Vista x64 Edition Service Pack 2
(3075220)

欺骗

重要

MS13-029 中的 2813345

Windows Vista x64 Edition Service Pack 2
(3075221)[1]

欺骗

重要

MS13-029 中的 2813347

Windows Server 2008

Windows Server 2008(用于 32 位系统)Service Pack 2
(3075220)

欺骗

重要

MS13-029 中的 2813345

Windows Server 2008(用于基于 x64 的系统)Service Pack 2
(3075220)

欺骗

重要

MS13-029 中的 2813345

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(3075220)

欺骗

重要

MS13-029 中的 2813345

Windows 7

Windows 7(用于 32 位系统)Service Pack 1
(3075220)

欺骗

重要

MS13-029 中的 2813347

Windows 7(用于 32 位系统)Service Pack 1
(3075222)[2]

远程执行代码

重要

Windows 7(用于 32 位系统)Service Pack 1
(3075226)[3]

远程执行代码

重要

MS15-069 中的 3070738

Windows 7(用于基于 x64 的系统)Service Pack 1
(3075220)

欺骗

重要

MS13-029 中的 2813347

Windows 7(用于基于 x64 的系统)Service Pack 1
(3075222)[2]

远程执行代码

重要

Windows 7(用于基于 x64 的系统)Service Pack 1
(3075226)[3]

远程执行代码

重要

MS15-069 中的 3070738

Windows Server 2008 R2

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3075220)

欺骗

重要

MS13-029 中的 2813347

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3075222)[2]

远程执行代码

重要

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3075226)[3]

远程执行代码

重要

MS15-069 中的 3070738

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(3075220)

欺骗

重要

MS13-029 中的 2813347

Windows 8 和 Windows 8.1

Windows 8(用于 32 位系统)
(3075220)

欺骗

重要

Windows 8(用于基于 x64 的系统)
(3075220)

欺骗

重要

Windows 8.1(用于 32 位系统)
(3075220)

欺骗

重要

Windows 8.1(用于基于 x64 的系统)
(3075220)

欺骗

重要

Windows Server 2012 和 Windows Server 2012 R2

Windows Server 2012
(3075220)

欺骗

重要

Windows Server 2012 R2
(3075220)

欺骗

重要

Windows RT 和 Windows RT 8.1

Windows RT[4]
(3075220)

欺骗

重要

Windows RT 8.1[4]
(3075220)

欺骗

重要

服务器核心安装选项

Windows Server 2008(用于 32 位系统)Service Pack 2(服务器核心安装)
(3075220)

欺骗

重要

MS13-029 中的 2813345

Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装)
(3075220)

欺骗

重要

MS13-029 中的 2813345

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)
(3075220)

欺骗

重要

MS13-029 中的 2813347

Windows Server 2012(服务器核心安装)
(3075220)

欺骗

重要

Windows Server 2012 R2(服务器核心安装)
(3075220)

欺骗

重要

[1]在受支持的 Windows Vista 版本上运行 RDP 7.0 的客户只需安装更新 3075221 即可。请参阅更新常见问题了解详细信息。

[2]在受支持的 Windows 7 或 Windows Server 2008 R2 版本上运行 RDP 8.0 的客户只需安装更新 3075222 即可。请参阅更新常见问题了解详细信息。

[3]在受支持的 Windows 7 或 Windows Server 2008 R2 版本上运行 RDP 8.1 的客户只需安装更新 3075226 即可。请参阅更新常见问题了解详细信息。

[4]此更新仅通过 Windows 更新提供。

*在取代的更新链中,“替代的更新”列仅显示最新的更新。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库编号,然后查看刻度更新详细信息(替代的更新信息位于程序包详细信息选项卡)。

更新常见问题

我运行的是 Windows Vista。为什么没有向我提供 Windows Vista 受影响软件表中列出的两个更新?
您需要安装的更新取决于您的计算机上是否安装了 RDP 7.0:

  • 如果没有安装 RDP 7.0,则您需要安装更新 3075220 以针对本公告中所述漏洞获取全面保护。
  • 如果安装了 RDP 7.0,则您需要安装更新 3075221 以针对本公告中所述漏洞获取全面保护。

有关 RDP 7.0 的详细信息,请参阅 Microsoft 知识库文章 969084

我运行的是 Windows 7 或 Windows Server 2008 R2。为什么没有向我提供针对这些版本的 Windows 的受影响软件表中列出的所有三个更新? 您需要安装的更新取决于您的计算机上安装的 RDP 版本:

  • 如果没有安装任何版本的 RDP 7.0,则您需要安装更新 3075220 以针对本公告中所述漏洞获取全面保护。
  • 如果安装了 RDP 8.0,则您需要安装更新 3075222 以针对本公告中所述漏洞获取全面保护。
  • 如果安装了 RDP 8.1,则您需要安装更新 3075226 以针对本公告中所述漏洞获取全面保护。

有关 RDP 8.0 的详细信息,请参阅 Microsoft 知识库文章 2592687

有关 RDP 8.1 的详细信息,请参阅 Microsoft 知识库文章 2830477

严重等级和漏洞标识符

以下严重等级假设漏洞的可能的最大影响。有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 8 月份公告摘要中的利用指数。

按受影响软件列出的漏洞严重等级和最大安全影响

受影响的软件

远程桌面会话主机欺骗漏洞 - CVE-2015-2472

远程桌面协议 DLL 种植远程执行代码漏洞 - CVE-2015-2473

综合严重等级

Windows Vista

Windows Vista Service Pack 2
(3075220)

重要
欺骗

不适用

重要

Windows Vista Service Pack 2
(3075221)

重要
欺骗

不适用

重要

Windows Vista x64 Edition Service Pack 2
(3075220)

重要
欺骗

不适用

重要

Windows Vista x64 Edition Service Pack 2
(3075221)

重要
欺骗

不适用

重要

Windows Server 2008

Windows Server 2008(用于 32 位系统)Service Pack 2
(3075220)

重要
欺骗

不适用

重要

Windows Server 2008(用于基于 x64 的系统)Service Pack 2
(3075220)

重要
欺骗

不适用

重要

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(3075220)

重要
欺骗

不适用

重要

Windows 7

Windows 7(用于 32 位系统)Service Pack 1
(3075220)

重要
欺骗

不适用

重要

Windows 7(用于 32 位系统)Service Pack 1
(3075222)

重要
欺骗

重要
远程执行代码

重要

Windows 7(用于 32 位系统)Service Pack 1
(3075226)

重要
欺骗

重要
远程执行代码

重要

Windows 7(用于基于 x64 的系统)Service Pack 1
(3075220)

重要
欺骗

不适用

重要

Windows 7(用于基于 x64 的系统)Service Pack 1
(3075222)

重要
欺骗

重要
远程执行代码

重要

Windows 7(用于基于 x64 的系统)Service Pack 1
(3075226)

重要
欺骗

重要
远程执行代码

重要

Windows Server 2008 R2

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3075220)

重要
欺骗

不适用

重要

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3075222)

重要
欺骗

重要
远程执行代码

重要

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1
(3075226)

重要
欺骗

重要
远程执行代码

重要

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(3075220)

重要
欺骗

不适用

重要

Windows 8 和 Windows 8.1

Windows 8(用于 32 位系统)
(3075220)

重要
欺骗

不适用

重要

Windows 8(用于基于 x64 的系统)
(3075220)

重要
欺骗

不适用

重要

Windows 8.1(用于 32 位系统)
(3075220)

重要
欺骗

不适用

重要

Windows 8.1(用于基于 x64 的系统)
(3075220)

重要
欺骗

不适用

重要

Windows Server 2012 和 Windows Server 2012 R2

Windows Server 2012
(3075220)

重要
欺骗

不适用

重要

Windows Server 2012 R2
(3075220)

重要
欺骗

不适用

重要

Windows RT 和 Windows RT 8.1

Windows RT
(3075220)

重要
欺骗

不适用

重要

Windows RT 8.1
(3075220)

重要
欺骗

不适用

重要

服务器核心安装选项

Windows Server 2008(用于 32 位系统)Service Pack 2(服务器核心安装)
(3075220)

重要
欺骗

不适用

重要

Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装)
(3075220)

重要
欺骗

不适用

重要

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)
(3075220)

重要
欺骗

不适用

重要

Windows Server 2012(服务器核心安装)
(3075220)

重要
欺骗

不适用

重要

Windows Server 2012 R2(服务器核心安装)
(3075220)

重要
欺骗

不适用

重要

漏洞信息

远程桌面会话主机欺骗漏洞 - CVE-2015-2472

远程桌面会话主机 (RDSH) 在身份验证期间对证书进行不正确验证时存在欺骗漏洞。成功利用此漏洞的攻击者可能模拟客户端会话。

为了利用此漏洞,在中间人 (MiTM) 攻击中,攻击者可能会生成与受信任证书的颁发者名称和序列号匹配的不受信任证书。此更新通过更正 RDSH 验证证书的方式来修复这个漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击客户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

远程桌面协议 DLL 种植远程执行代码漏洞 - CVE-2015-2473

当 Microsoft Windows 远程桌面协议客户端未正确处理某些经特殊设计的 DLL 文件加载时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

要利用此漏洞,攻击者必须要先在目标用户的当前工作目录中放置经特殊设计 DLL 文件,然后诱使用户打开经特殊设计的 RDP 文件。在网络攻击情形中,攻击者拥有一个包含经特殊设计的 RDP 文件(旨在利用此漏洞)的网站,或者会利用接受或托管用户提供的内容的已入侵网站。攻击者无法强迫用户访问此类网站。相反,攻击者必须说服用户单击链接,通常方式为通过电子邮件或 Instant Messenger 消息进行诱骗。

该更新通过更正 Windows RDP 客户端加载某些二进制文件的方式来修复漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击客户的信息。

缓解因素

以下缓解因素在您遇到的情形中可能会有所帮助:

  • 默认情况下,任何 Windows 操作系统都未启用 RDP 服务器服务。未启用 RDP 服务器服务的系统均不存在这一风险。

变通办法

以下变通办法在您遇到的情形中可能会有所帮助:

  • 删除 .rdp 文件关联

    警告 如果注册表编辑器使用不当,则可能导致严重的问题,也许会要求您重新安装操作系统。Microsoft 无法保证能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器的风险由您自己承担。若要了解如何编辑注册表,请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题,或查看 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

    方法 1(手动编辑系统注册表):

    1. 单击“开始”,单击“运行”,在“打开”框中键入 Regedit,然后单击“确定”。
    2. 展开 HKEY_CLASSES_ROOT,单击“RDP.File”,然后单击“文件”菜单并选择“导出”。
    3. 在“导出注册表文件”对话框中,键入 RDPfile HKCR file association registry backup.reg,然后单击“保存”。默认情况下,此操作将在“我的文档”文件夹中创建此注册表项的备份。
    4. 按键盘上的“Delete”键删除该注册表项。当系统提示您删除注册表值时,请单击“”。
    5. 导航到以下注册表位置:

          HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
      
    6. 单击“.rdp”,然后单击“文件”菜单并单击“导出”。

    7. 导航到以下注册表位置:

          HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
      
    8. 在“导出注册表文件”对话框,键入 HKCU file association registry backup.reg 并单击“保存”。这将在“我的文档”文件夹中为该注册表项默认创建一个备份。

    9. 按键盘上的“Delete”键删除该注册表项。当系统提示您删除注册表值时,请单击“”。

    方法 2(使用托管的部署脚本):

    1. 使用下列命令创建注册表项的备份副本:

          Regedit.exe /e rdpfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\RDP.FileRegedit.exe /e rdp_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rdp
      
    2. 将下列内容保存到扩展名为 .REG 的文件(例如 Delete_rdp_file_association.reg):

          Windows Registry Editor Version 5.00[-HKEY_CLASSES_ROOT\RDP.File][-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rdp]
      
    3. 单击“开始”,单击“运行”,在“打开”框中键入 Regedit,然后单击“确定”。

    4. 在目标计算机上,使用下列命令运行在步骤 b 中创建的注册表脚本:

          Regedit.exe /s Delete_rdp_file_association.reg
      

    变通办法的影响。双击 .jnt 文件将不再启动 journal.exe。

    如何撤消变通方法

    使用 Regedit 还原 .REG 文件中保存的设置,从而还原注册表项。

安全更新程序部署

有关安全更新部署信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢部分。

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2015 年 8 月 11 日):公告已发布。

页面生成时间:2015-08-05 15:21Z-07:00。