点击上方蓝字关注我们吧~Microsoft Windows 远程桌面服务中的一个严重漏洞,可能允许攻击者在受影响的系统上远程执行任意代码,而无需用户身份验证。
远程桌面网关服务中的这个释放后使用漏洞被确定为 CVE-2025-27480,CVSS评分为 8.1,表明其严重性很高,对全球企业环境有潜在影响。
Microsoft 于 2025 年 4 月 8 日发布了官方安全公告,详细介绍了影响远程桌面网关服务组件的漏洞。
Windows 远程桌面服务漏洞
漏洞 CVE-2025-27480分类为“释放后使用”,允许未经授权的攻击者利用内存管理问题在网络上执行恶意代码。
“攻击者可以通过连接到具有远程桌面网关角色的系统,触发争用条件以创建释放后使用场景,然后利用它来执行任意代码,从而成功利用此漏洞,”Microsoft 在其公告中解释说。
已为漏洞分配了一个关键 CVSS 向量字符串 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A/E:U/RL:O/RC:C,这表明虽然由于需要赢得争用条件而导致攻击复杂性很高,但利用不需要权限或用户交互。
当应用程序错误地处理内存中的对象时,就会出现远程桌面网关服务漏洞,从而导致释放后使用的情况。此内存损坏错误会导致以下情况:
-
服务为对象分配内存 -
该服务释放内存 -
该服务稍后会引用释放的内存 -
攻击者可以纵此引用来执行任意代码
漏洞的争用条件方面需要潜在攻击者精确计时,这会略微降低直接风险,但不会降低整体严重性。
披露的相关漏洞
Microsoft 还披露了CVE-2025-27487,这是一个影响远程桌面客户端的“重要”级漏洞。
这个基于堆的缓冲区溢出漏洞的 CVSS 评分为 8.0,可能使控制恶意 RDP 服务器的攻击者能够在用户连接到客户端计算机时在该计算机上执行代码。
与 CVE-2025-27480 不同,第二个漏洞需要用户交互 (UI:R) 和低权限 (PR:L),这意味着只有当用户主动连接到受感染的服务器时,才会发生漏洞利用。
漏洞摘要如下:
| CVE 证书 | 受影响的产品 | 冲击 | 利用先决条件 | CVSS 3.1 分数 |
|
|
|
|
|
|
|
|
|
|
|
|
缓解措施和建议
作为其 4 月安全更新的一部分,Microsoft 已经为大多数受影响的系统发布了官方补丁。
但是,根据公告,某些 Windows 10 版本的更新不会立即可用,并将“尽快”发布。
安全专家建议组织实施以下措施:
-
在可用的情况下立即应用安全更新 -
实施网络分段以限制 RDP 暴露 -
启用网络级别身份验证 (NLA) 作为额外的保护层 -
监控可疑的 RDP 连接尝试
到目前为止,尚未发现在野外利用的证据,但安全团队应保持警惕,因为一旦这些漏洞被公开,威胁行为者通常会迅速采取行动,将此类漏洞武器化。
免责声明:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):Windows 远程桌面服务允许攻击者远程执行恶意代码漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论