Microsoft 資訊安全公告 MS16-017 - 重要

用來解決權限提高的遠端桌面顯示驅動程式安全性更新 (3134700)

發行日期:2016 年 2 月 9 日

版本: 1.0

提要

此安全性更新可解決 Microsoft Windows 中的弱點。如果通過驗證的攻擊者使用 RDP 登入目標系統並透過連線傳送蓄意製作的資料,此弱點就可能會允許權限提高。依照預設,RDP 並未在任何 Windows 作業系統上啟用。未啟用 RDP 的系統都沒有受到弱點影響的風險。

對於所有受支援版本的 Windows 7、Windows Server 2012、Window 8.1、Windows Server 2012 R2 和 Windows 10,此安全性更新的等級為「重要」。如需詳細資訊,請參閱<受影響的軟體>一節。

此安全性更新可修正 RDP 處理記憶體中物件的方式,進而解決此弱點。如需有關此弱點的詳細資訊,請參閱<弱點資訊>一節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章編號 3134700

受影響的軟體和弱點嚴重性等級

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

針對每個受影響的軟體所指出的嚴重性等級假設弱點可能產生最大影響。在本資訊安全公告發行的 30 天內,如需弱點之易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱2 月份公告摘要中的<弱點入侵指數>。

作業系統

遠端桌面通訊協定 (RDP) 權限提高弱點 - CVE-2016-0036

已取代更新*

Windows 7

適用於 32 位元系統的 Windows 7 Service Pack 1
(3126446)[1]

重要
權限提高

MS15-067 中的 3069762

適用於 x64 系統的 Windows 7 Service Pack 1
(3126446)[1]

重要
權限提高

MS15-067 中的 3069762

Windows 8.1

適用於 32 位元系統的 Windows 8.1
(3126446)

重要
權限提高

MS15-030 中的 3035017

適用於 x64 型系統的 Windows 8.1
(3126446)

重要
權限提高

MS15-030 中的 3035017

Windows Server 2012 和 Windows Server 2012 R2

Windows Server 2012
(3126446)

重要
權限提高

MS15-067 中的 3067904

Windows Server 2012 R2
(3126446)

重要
權限提高

MS15-030 中的 3035017

Windows 10

適用於 32 位元系統的 Windows 10[2] (3135174)

重要
權限提高

3124266

適用於 x64 型系統的 Windows 10[2] (3135174)

重要
權限提高

3124266

Server Core 安裝選項

Windows Server 2012 (Server Core 安裝)
(3126446)

重要
權限提高

MS15-067 中的 3067904

Windows Server 2012 R2 (Server Core 安裝)
(3126446)

重要
權限提高

MS15-030 中的 3035017

[1]Windows 7 企業版及旗艦版會受影響。如果系統上安裝了 RDP 8.0,所有支援版本的 Windows 7 都會受影響。如需更多資訊,請參閱<更新常見問題集>。

[2]Windows 10 更新是累積性的。除了含有非安全性更新之外,其中還含有每月安全性更新發行隨附之所有受影響 Windows 10 弱點的所有安全性修正程式。此更新透過 Windows Update Catalog 提供。

* [已取代更新] 資料行僅顯示任何被取代更新鏈結中的最新更新。如需完整的已取代更新清單,請前往 Microsoft Update Catalog (英文),搜尋更新知識庫文章編號,然後檢視更新詳細資料 (已取代更新資訊位於 [套件詳細資料] 索引標籤)。

更新常見問題集

哪些版本的 Windows 7 會受到影響?
Windows 7 企業版及旗艦版會受影響。如果系統上安裝了 RDP 8.0,所有支援版本的 Windows 7 都會受影響。在本機系統上執行 RDP 8.0 的客戶如果不需要 RDP 8.0 提供的伺服器端新功能,Microsoft 建議升級至 RDP 8.1,而且不要安裝 (或移除) 3126446 更新。

弱點資訊

遠端桌面通訊協定 (RDP) 權限提高弱點 - CVE-2016-0036

當攻擊者使用 RDP 登入目標系統並透過通過驗證的連線傳送蓄意製作的資料時,遠端桌面通訊協定 (RDP) 中即存在權限提高的弱點。成功利用此弱點的攻擊者能以提高的權限執行程式碼。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。

若要利用此弱點,攻擊者必須先使用遠端桌面通訊協定 (RDP) 登入目標系統。然後攻擊者會執行蓄意製作的應用程式,該應用程式是設計來建立損毀情況,造成提高的權限。此更新可修正 RDP 處理記憶體中物件的方式,進而解決此弱點。

下表包含「一般性弱點」清單中每個弱點的標準項目連結:

弱點標題 CVE 編號 已公開揭露 是否遭到利用
遠端桌面通訊協定 (RDP) 權限提高弱點 CVE-2016-0036

緩和因素

Microsoft 尚未找到此項弱點的任何緩和因素

因應措施

下列因應措施可能對您的狀況有所助益:

  • 停用 RDP

    若要停用 RDP,請使用 [群組原則]

    1. 開啟 [群組原則]
    2. [電腦設定][系統管理範本]、[Windows 元件]、[終端機服務] 中,按兩下 [允許使用者使用終端機服務從遠端連線] 設定。
    3. 請執行下列其中一個動作:

      • 若要啟用遠端桌面,請按一下 [已啟用]
      • 若要停用遠端桌面,請按一下 [已停用]

      如果您在使用者連線至目標電腦時停用遠端桌面,電腦將維持其目前的連線,但不接受任何新的傳入連線。

    重要 當您在電腦上啟用遠端桌面時,其他使用者和群組即可從遠端登入電腦。然而,您也必須決定哪些使用者和群組能夠從遠端登入,然後將他們手動新增至遠端桌面使用者群組。如需詳細資訊,請參閱讓使用者遠端連線至伺服器 (英文) 和將使用者新增至遠端桌面使用者群組 (英文)。

    您應該先徹底測試對群組原則設定所做的任何變更,再將變更套用至使用者或電腦。如需有關測試原則設定的詳細資訊,請參閱「原則結果組」。

    注意

    • 若要執行此程序,您在本機電腦上必須是系統管理員群組的成員,或者必須有適當的授權。如果電腦已加入網域,Domain Admins 群組的成員可能也可以執行此程序。若要使用符合安全性的「最佳做法」,請考慮使用 [執行身分] 執行此程序。
    • 使用上述程序來設定本機 [群組原則] 物件。若要變更網域或組織單元的原則,必須以系統管理員身分登入主要網域控制站。接著必須使用 [Active Directory 使用者和電腦] 嵌入式管理單元來啟動群組原則。
    • 若將 [允許使用者使用終端機服務從遠端連線] 群組原則設定設為 [尚未設定],則目標電腦上的 [啟用這部電腦的遠端桌面] 設定 (位於 [系統內容] 對話方塊的 [遠端] 索引標籤) 優先適用。否則優先使用 [允許使用者使用終端機服務從遠端連線] 群組原則設定。
    • 請注意遠端登入的安全性含意。遠端登入的使用者可以執行工作,就好像它們坐在主控台前一般。基於這個理由,您應該確定伺服器位於防火牆後面。如需詳細資訊,請參閱 VPN 伺服器和防火牆設定 (英文) 和 IPSec 的資訊安全資訊 (英文)。
    • 您應該要求遠端連線的所有使用者使用強式密碼。如需更多資訊,請參閱強式密碼 (英文)。
    • 在 Windows Server 2003 作業系統中,預設會停用遠端桌面。

    若要使用系統內容停用 RDP

    1. 開啟 [控制台] 中的 [系統]
    2. [遠端] 索引標籤上,選取或清除 [啟用這部電腦的遠端桌面] 核取方塊,然後按一下 [確定]

    重要 當您在電腦上啟用遠端桌面時,其他使用者和群組即可從遠端登入電腦。然而,您也必須決定哪些使用者和群組能夠從遠端登入,然後將他們手動新增至遠端桌面使用者群組。如需詳細資訊,請參閱讓使用者遠端連線至伺服器 (英文) 和將使用者新增至遠端桌面使用者群組 (英文)。

    注意

    • 您必須以系統管理員群組成員身份登入,才能啟用或停用遠端桌面。
    • 若要開啟 [主控台] 項目,請按一下 [開始],按一下 [控制台],然後按兩下適當的圖示。
    • 可使用 [系統內容],以任何包含群組原則的組態設定覆寫此組態設定,如此程序所述。
    • 請注意遠端登入的安全性含意。遠端登入的使用者可以執行工作,就好像它們坐在主控台前一般。基於這個理由,您應該確定伺服器位於防火牆後面。如需詳細資訊,請參閱 VPN 伺服器和防火牆設定 (英文) 和 IPSec 的資訊安全資訊 (英文)。
    • 您應該要求遠端連線的所有使用者使用強式密碼。如需更多資訊,請參閱強式密碼 (英文)。
    • 在 Windows Server 2003 作業系統中,預設會停用遠端桌面。

常見問題集

依預設是否會啟用遠端桌面?
否,依預設不會啟用系統管理的 RDP。然而,未啟用 RDP 的客戶仍會收到此更新,以協助確保其系統的安全。如需更多關於這項組態設定的資訊,請參閱 TechNet 文章:如何在 Windows Server 2003 中啟用及設定系統管理遠端桌面 (英文)。請注意,本文也適用於 Microsoft Windows 的新版本。

安全性更新部署

如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

致謝

Microsoft 了解資訊安全業界所做的努力,其盡責地透露弱點來協助我們保護客戶。請參閱致謝 (英文) 以取得詳細資訊。

免責聲明

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2016 年 2 月 9 日):公告發行。

頁面產生時間:2016-02-03 13:33-08:00。