Microsoft Windows 远程桌面服务中存在一个严重漏洞,可能允许攻击者在受影响的系统上远程执行任意代码,而无需用户身份验证。
远程桌面网关服务中的这个释放后使用漏洞被标识为CVE-2025-27480 ,其 CVSS 评分为 8.1,表明其严重性较高,可能对全球企业环境造成影响。
微软于2025年4月8日发布官方安全公告,详细说明了影响远程桌面网关服务组件的漏洞。
Windows远程桌面服务漏洞
漏洞CVE-2025-27480被归类为“释放后使用”,允许未经授权的攻击者利用内存管理问题通过网络执行恶意代码。
微软在其公告中解释道:“攻击者可以通过连接到具有远程桌面网关角色的系统,触发竞争条件来创建使用后释放场景,然后利用此漏洞执行任意代码,从而成功利用此漏洞。”
该漏洞已被分配一个关键的 CVSS 矢量字符串 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C,表明虽然由于需要赢得竞争条件导致攻击复杂性很高,但利用该漏洞不需要任何特权或用户交互。
当应用程序错误地处理内存中的对象时,远程桌面网关服务漏洞就会发生,从而导致“释放后使用”的情况。此内存损坏错误会导致以下情况:
- 该服务为对象分配内存
- 该服务释放内存
- 该服务稍后引用释放的内存
- 攻击者可以操纵此引用来执行任意代码
该漏洞的竞争条件方面需要潜在攻击者精确计时,这会稍微降低直接风险,但不会降低整体严重性。
相关漏洞披露
微软还披露了CVE-2025-27487,这是一个影响远程桌面客户端的“重要”漏洞。
该基于堆的缓冲区溢出漏洞的 CVSS 评分为 8.0,可使控制恶意 RDP 服务器的攻击者在用户连接到客户端计算机时在客户端计算机上执行代码。
与 CVE-2025-27480 不同,第二个漏洞需要用户交互(UI:R)和低权限(PR:L),这意味着只有当用户主动连接到受感染的服务器时才会发生利用。
该漏洞的摘要如下:
| CVE | 受影响的产品 | 影响 | 漏洞利用前提条件 | CVSS 3.1 分数 |
| CVE-2025-27480 | Windows 远程桌面网关 | 远程代码执行 | 基于网络的攻击;高复杂性;无需特权或用户交互 | 8.1(高) |
| CVE-2025-27487 | Windows 远程桌面客户端 | 远程代码执行 | 需要用户交互;复杂度低;所需权限低 | 8.0(高) |
缓解措施和建议
作为4月份安全更新的一部分,微软已经针对大多数受影响的系统发布了官方补丁。 然而,根据公告,某些Windows 10版本的更新不会立即提供,并将“尽快”发布。
安全专家建议组织实施以下措施:
- 立即应用可用的安全更新
- 实施网络分段以限制RDP暴露
- 启用网络级别身份验证 (NLA) 作为附加保护层
- 监视可疑的RDP连接尝试
昆仑实验室的一位网络安全分析师表示,这个漏洞 CVE-2025-27480 凸显了远程访问服务带来的持续风险。组织应该审查其远程访问架构,并考虑除修补之外的其他保护措施。
到目前为止,尚未发现任何在野外被利用的证据,但安全团队应保持警惕,因为威胁行为者一旦将这些漏洞公开,往往会迅速采取行动将其武器化。
原文始发于微信公众号(祺印说信安):Windows远程桌面服务漏洞可远程执行恶意代码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论