web-dev-qa-db-ja.com

CVEがない場合、攻撃がまだ有効かどうかをどのように知ることができますか?

2017年3月に公開されたRDPに対するMitM攻撃の PoC が見つかりましたが、どのデータベースにもCVEがなく、Microsoftによるパッチについての言及もありません。

これがまだ機能するかどうか知りたいのですが、自分でテストせずにどうすればわかりますか?

1
Tom K.

このホワイトペーパーで説明されている問題は、実際の脆弱性ではなく、環境で信頼できない証明書を使用した結果です。リモートRDPサーバーに接続する場合、デフォルトで自己署名証明書を使用します。その証明書を受け入れると、リモートシステムを信頼します。これがネットワークでの方法である場合、攻撃者はプロキシサーバーを設定し、システムを介してすべてのRDPトラフィックをプロキシできます。 man-in-the-middle攻撃を実行します。攻撃者の証明書を受け入れて接続を確立すると開始されます。

この問題を回避するには、信頼できるCAによって署名された信頼できる証明書を使用する必要があります。また、リモートサーバーが信頼できない証明書を提供する場合は、何かが間違っていると疑う必要があります。これは、Webブラウザや偽の証明書の場合と同じ問題です。

つまり、組織が自己署名証明書を使用している場合、この攻撃に対して脆弱です。

信頼できる証明書を使用するようにRDPサーバーを構成する方法に関する記事を次に示します。 https://blogs.technet.Microsoft.com/enterprisemobility/2010/04/09/configuring-remote-desktop-certificates/ ==

https://www.derekseaman.com/2013/01/creating-custom-remote-desktop-services.html

3
Valery Marchuk