微软远程桌面网关(RD Gateway)中存在一个高危漏洞,攻击者可利用该漏洞在受影响系统上远程执行恶意代码。该漏洞编号为CVE-2025-21297,由微软在2025年1月安全更新中披露,目前已在野外被积极利用。
漏洞技术分析
该漏洞由昆仑实验室研究员VictorV发现并报告,属于远程桌面网关服务初始化过程中并发套接字连接触发的释放后重用(UAF)漏洞。具体而言,漏洞存在于aaedge.dll库的CTsgMsgServer::GetCTsgMsgServerInstance函数中,该函数在初始化全局指针(m_pMsgSvrInstance)时未进行适当的线程同步。
安全公告解释称:"当多个线程可以覆盖同一个全局指针时,就会触发该漏洞,导致引用计数损坏,最终引发悬垂指针解引用——这是典型的UAF场景。"这种竞态条件使攻击者能够利用内存分配和指针赋值不同步的时机问题,可能导致任意代码执行。微软为该漏洞分配的CVSS评分为8.1,属于高危级别。
漏洞利用条件
研究人员指出,成功利用该漏洞需要攻击者完成以下步骤:
1. 连接到运行RD Gateway角色的系统
整个利用过程涉及线程间九步堆碰撞时间线,最终导致使用已释放的内存块,为任意代码执行打开大门。
受影响系统版本
-
Windows Server 2016(核心版和标准版) -
Windows Server 2019(核心版和标准版) -
Windows Server 2022(核心版和标准版) -
Windows Server 2025(核心版和标准版)
修复措施
-
Windows Server 2016:更新KB5050011 -
Windows Server 2019:更新KB5050008(版本10.0.17763.6775) -
Windows Server 2022:更新KB5049983(版本10.0.20348.3091) -
Windows Server 2025:更新KB5050009(版本10.0.26100.2894)
参考来源:
Windows Remote Desktop Gateway UAF Vulnerability Allows Remote Code Executionhttps://cybersecuritynews.com/windows-remote-desktop-gateway-uaf-vulnerability/
推荐阅读
电台讨论![Windows远程桌面网关UAF漏洞可导致远程代码执行]( "Windows远程桌面网关UAF漏洞可导致远程代码执行")
原文始发于微信公众号(FreeBuf):Windows远程桌面网关UAF漏洞可导致远程代码执行
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论