1.漏洞公告

    2018年3月13日，微软发布了本月安全更新补丁，其中包含一个CredSSP远程代码执行漏洞的补丁更新，对应CVE编号：CVE-2018-0886，相关信息链接：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-0886

    根据公告，该漏洞存在于所有Windows版本，凭证安全支持提供程序（CredSSP）协议是Windows特定的机制，负责在内部网络/域中的客户端和远程服务器之间安全地转发身份验证凭证,同时CredSSP也是远程桌面协议（RDP）和Windows远程管理（WinRM）服务的核心组件，两者都容易受到攻击，黑客可以通过在用户尝试用RDP或WinRM会话期间进行身份验证时执行恶意命令，其他依赖CredSSP进行身份验证的应用程序也都可能容易受到此类攻击。

    2.漏洞描述

    该漏洞属于协议设计时的逻辑漏洞，从而导致的远程代码执行漏洞（Remote Code Execution），要成功利用该漏洞，黑客需要接入被攻击者的网络，首先会假设一台恶意的服务器（如：RDP服务器），然后发起中间人攻击（使用类似arp手段），当普通用户尝试登入局域网内RDP服务器时，黑客会劫持用户RDP会话后，攻击RDP服务器，在被攻击的RDP服务器执行任意代码。

    3.影响范围

    CredSSP漏洞（CVE-2018-0886）影响所有的Windows系统，但微软已不再公开提供老系统的安全更新补丁，可获取安全更新补丁的系统列表如下：

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1511 for 32-bit Systems

Windows 10 Version 1511 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1703 for 32-bit Systems

Windows 10 Version 1703 for x64-based Systems

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for 64-based Systems

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows 8.1 for 32-bit systems

Windows 8.1 for x64-based systems

Windows RT 8.1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server, version 1709 (Server Core Installation)

    建议安装安全更新补丁的同时，关注官方的信息更新和其他缓解措施说明：

https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

    4.缓解措施

    高危：目前网上虽然还未出现攻击代码，但这一类攻击手法可预见的会陆续曝光，建议及时更新相关补丁。

    微软补丁更新建议：微软每月第二周周二会定期发布安全更新补丁，建议企业订阅和关注官方安全更新公告，及时测试补丁或做更新。