刚刚一觉醒来,就听说了这个屌炸的漏洞,真的很庆幸,这是一个密报的漏洞,微软肯定是先推送补丁修复了(微软在北京时间2012-03-13号就推送了该补丁),然后才公开的报告。

不然,如果该漏洞在地下流传,企业、政府、银行、军队等重要机构的大型服务器将无一幸免,完全沦陷!这会造成极其严重的后果!

(这也是为什么重要机构的大型服务器都根本不使用 Windows 系统,一方面是性能原因,另一方面是安全因素,还有一方面是国家安全与战争因素了,米国政府的秘密机构手中掌握有大量此类零日漏洞,并且都是未公开的,一旦发动战争,这些都是武器,平时则用来窃取敌对国家情报……)

真的很庆幸,感谢这几位伟大的人:

Luigi Auriemma 与 TippingPoint'sZero Day Initiative 合作报告了远程桌面协议漏洞 (CVE-2012-0002)

如何检查自己是否已安装更新补丁?

这个漏洞的更新补丁号为:KB2621440,用户可以自行在:控制面板 --> 添加删除程序(记得勾选“显示更新,然后查找该编号,如果有则表示您已安装,可以不必担心了,或者使用命令:

systeminfo

在显示出来的更新补丁列表中查找该编号,或者干脆使用命令查找,例如:

systeminfo|find /i "KB2621440"

本人系统的自动更新是开启的,所以在2012年03月13日就自动安装了该补丁,强烈推荐各位开启自动更新并设置为自动下载并安装

PS:看到很多人,各种求工具、求漏洞、求样本、求利用,表示很无语……

PS:另外提一下,除了这个漏洞之外,还有另外两个相同类型的漏洞未公开,仍在地下流传,不解释……


另外,提一下,乌云某人发布的那什么利用工具“ms12-020.exe”:3389入侵0day 工具现身网络,(点此查看截图),纯属娱乐,呵呵,娱乐一下还是可以的,但是别认真……

网友评论:什么小猪,2b,要20w卖这个bat,我说这个图就是什么小猪的人写的,是个假的,谁买谁2b了……


摘要:此安全更新可解决远程桌面协议中两个秘密报告的漏洞。如果攻击者向受影响的系统发送一系列特制 RDP 数据包,则这些漏洞中较严重的漏洞可能允许远程执行代码。

ms12-020 RDP远程漏洞,问题出现在rdpwd.sys里面,HandleAttachUserReq函数,貌似是一个内核堆内存只断链了,而没有释放内存,而这块内存可以填充shellcode,如果这块内存被重用,那么就可能被执行恶意构造的shellcode,简单的diff了一下.

版本: 1.0

摘要

此安全更新可解决远程桌面协议中两个秘密报告的漏洞。如果攻击者向受影响的系统发送一系列特制 RDP 数据包,则这些漏洞中较严重的漏洞可能允许远程执行代码。默认情况下,任何 Windows 操作系统都未启用远程桌面协议 (RDP)。没有启用 RDP 的系统不受威胁。

建议。

大多数客户均启用了“自动更新”,他们不必采取任何操作,因为此安全更新将自动下载并安装。尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。

受影响的软件


操作系统 最大安全影响 综合严重等级 此更新替代的公告
Windows XP Service Pack 3
(KB2621440)
远程执行代码 严重 MS11-065 中的 KB2570222 由 KB2621440 替代
Windows XP Professional x64 Edition Service Pack 2
(KB2621440)
远程执行代码 严重 MS11-065 中的 KB2570222 由 KB2621440 替代
Windows Server 2003 Service Pack 2
(KB2621440)
远程执行代码 严重 MS11-065 中的 KB2570222 由 KB2621440 替代
Windows Server 2003 x64 Edition Service Pack 2
(KB2621440)
远程执行代码 严重 MS11-065 中的 KB2570222 由 KB2621440 替代
Windows Server 2003 SP2(用于基于 Itanium 的系统)
(KB2621440)
远程执行代码 严重 MS11-065 中的 KB2570222 由 KB2621440 替代
Windows Vista Service Pack 2
(KB2621440)
远程执行代码 严重 没有公告由 KB2621440 替代
Windows Vista x64 Edition Service Pack 2
(KB2621440)
远程执行代码 严重 没有公告由 KB2621440 替代
Windows Server 2008(用于 32 位系统)Service Pack 2*
(KB2621440)
远程执行代码 严重 没有公告由 KB2621440 替代
Windows Server 2008(用于基于 x64 的系统)Service Pack 2*
(KB2621440)
远程执行代码 严重 没有公告由 KB2621440 替代
Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(KB2621440)
远程执行代码 严重 没有公告由 KB2621440 替代
Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1
(KB2621440)

Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1
(KB2667402)
远程执行代码 严重[1] 没有公告由 KB2621440 替代


没有公告由 KB2667402 替代
Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1
(KB2621440)

Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1
(KB2667402)
远程执行代码 严重[1] 没有公告由 KB2621440 替代



没有公告由 KB2667402 替代
Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*
(KB2621440)

Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*
(KB2667402)
远程执行代码 严重[1] 没有公告由 KB2621440 替代



没有公告由 KB2667402 替代
Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(KB2621440)

Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(KB2667402)
远程执行代码 严重[1] 没有公告由 KB2621440 替代



没有公告由 KB2667402

微软的安全公告:

http://technet.microsoft.com/zh-cn/security/bulletin/MS12-020


Microsoft 安全公告 MS12-020 - 严重

远程桌面中的漏洞可能允许远程执行代码 (2671387)

发布时间: 2012年3月13日

版本: 1.0

一般信息

摘要

此安全更新可解决远程桌面协议中两个秘密报告的漏洞。如果攻击者向受影响的系统发送一系列特制 RDP 数据包,则这些漏洞中较严重的漏洞可能允许远程执行代码。默认情况下,任何 Windows 操作系统都未启用远程桌面协议 (RDP)。没有启用 RDP 的系统不受威胁。

对于 Microsoft Windows 所有受支持的版本,此安全更新的等级为“严重”。有关详细信息,请参阅本节中“受影响和不受影响的软件”小节。

该安全更新通过修改远程桌面协议处理内存中数据包的方式以及 RDP 服务处理数据包的方式来解决漏洞。有关这些漏洞的详细信息,请参阅下一节“漏洞信息”下面特定漏洞条目的“常见问题 (FAQ)”小节。

建议。 大多数客户均启用了“自动更新”,他们不必采取任何操作,因为此安全更新将自动下载并安装。尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871

对于管理员、企业安装或者想要手动安装此安全更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用此更新或者利用 Microsoft Update 服务检查更新。

另请参阅本公告后面部分中的“检测和部署工具及指导”一节。

已知问题。 Microsoft 知识库文章 2671387 介绍了客户在安装此安全更新时可能遇到的当前已知问题。本文还介绍了这些问题的建议解决办法。

受影响和不受影响的软件

已对下列软件进行测试,以确定受到影响的版本。其他版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请访问 Microsoft 技术支持生命周期

操作系统 最大安全影响 综合严重等级 此更新替代的公告
Windows XP Service Pack 3
(KB2621440)
远程执行代码 严重 MS11-065 中的 KB2570222 由 KB2621440 替代
Windows XP Professional x64 Edition Service Pack 2
(KB2621440)
远程执行代码 严重 MS11-065 中的 KB2570222 由 KB2621440 替代
Windows Server 2003 Service Pack 2
(KB2621440)
远程执行代码 严重 MS11-065 中的 KB2570222 由 KB2621440 替代
Windows Server 2003 x64 Edition Service Pack 2
(KB2621440)
远程执行代码 严重 MS11-065 中的 KB2570222 由 KB2621440 替代
Windows Server 2003 SP2(用于基于 Itanium 的系统)
(KB2621440)
远程执行代码 严重 MS11-065 中的 KB2570222 由 KB2621440 替代
Windows Vista Service Pack 2
(KB2621440)
远程执行代码 严重 没有公告由 KB2621440 替代
Windows Vista x64 Edition Service Pack 2
(KB2621440)
远程执行代码 严重 没有公告由 KB2621440 替代
Windows Server 2008(用于 32 位系统)Service Pack 2*
(KB2621440)
远程执行代码 严重 没有公告由 KB2621440 替代
Windows Server 2008(用于基于 x64 的系统)Service Pack 2*
(KB2621440)
远程执行代码 严重 没有公告由 KB2621440 替代
Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2
(KB2621440)
远程执行代码 严重 没有公告由 KB2621440 替代
Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1
(KB2621440)

Windows 7(用于 32 位系统)和 Windows 7(用于 32 位系统)Service Pack 1
(KB2667402)
远程执行代码 严重[1] 没有公告由 KB2621440 替代


没有公告由 KB2667402 替代
Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1
(KB2621440)

Windows 7(用于基于 x64 的系统)和 Windows 7(用于基于 x64 的系统)Service Pack 1
(KB2667402)
远程执行代码 严重[1] 没有公告由 KB2621440 替代



没有公告由 KB2667402 替代
Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*
(KB2621440)

Windows Server 2008 R2(用于基于 x64 的系统)和 Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1*
(KB2667402)
远程执行代码 严重[1] 没有公告由 KB2621440 替代



没有公告由 KB2667402 替代
Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(KB2621440)

Windows Server 2008 R2(用于基于 Itanium 的系统)和 Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1
(KB2667402)
远程执行代码 严重[1] 没有公告由 KB2621440 替代



没有公告由 KB2667402 替代

*服务器核心安装受到影响。此更新适用于 Windows Server 2008 或 Windows Server 2008 R2 的受支持版本,严重等级相同,无论是否使用“服务器核心”安装选项进行了安装。有关此安装选项的详细信息,请参阅 TechNet 文章管理服务器核心安装服务服务器核心安装。注意,服务器核心安装选项不适用于 Windows Server 2008 和 Windows Server 2008 R2 的某些版本;请参阅“Ultimate Guide to Windows Server (Windows Server 终极概述指南 - 当前和旧版选项)(http://comparite.ch/windows-server)”。(原始内容“比较服务器核心安装选项”已删除,感谢“Amy Snapp(comparetech.org)”提供新的链接!新的链接更新于 2019/03/11 09:44:58)

[1]更新程序包 KB2621440 解决 CVE-2012-0002,更新程序包 KB2667402 解决 CVE-2012-0152。如果在受影响的 Microsoft Windows 版本上,CVE-2012-0152 的严重等级低于 KB2621440,则根据 CVE-2012-0002,综合严重等级为“严重”。客户应该应用为其系统安装的 Microsoft Windows 版本提供的所有更新。

鸣谢

Microsoft 感谢下列人员或组织与我们一起致力于保护客户的利益: