在今天發(fā)布的一份報告中，安全研究人員終于披露了有關Microsoft去年11月修補的一個錯誤的詳細信息，他們說這些錯誤可以使黑客劫持Windows Server安裝并濫用Windows部署服務(WDS)來接管服務器。甚至部署后門Windows OS版本。

根據(jù)Check Point的說法，該漏洞影響所有Windows Servers 2008 SP2和更高版本，并影響這些系統(tǒng)附帶的WDS組件。

WDS是企業(yè)系統(tǒng)管理員用來從中央位置(運行WDS服務的Windows Server操作系統(tǒng))跨一系列計算機部署Windows操作系統(tǒng)的工具。

在技??術級別上，這是通過運行網(wǎng)絡啟動程序(NBP)來完成的，該程序將預啟動消息發(fā)送到本地工作站的PXE(預啟動執(zhí)行環(huán)境)。

服務器和工作站之間的這些交互是通過TFTP進行的，TFTP表示瑣碎的文件傳輸協(xié)議，這是FTP協(xié)議的較舊且不安全的版本。

Check Point Software的安全研究員Omri Herscovici在今天發(fā)表的一篇技術文章中說，去年他研究了微軟如何在WDS中實現(xiàn)該協(xié)議。

研究人員的報告揭示了CVE-2018-8476核心的實際錯誤，該漏洞是Microsoft去年11月修補的漏洞。

Herscovici 通過電子郵件告訴ZDNet： “ TFTP協(xié)議本身沒有問題，僅在此服務的實現(xiàn)方面有問題。”

在將該協(xié)議的實現(xiàn)模糊化到WDS中之后，研究人員發(fā)現(xiàn)他可以創(chuàng)建格式錯誤的數(shù)據(jù)包，這些數(shù)據(jù)包將在接收來自PXE工作站響應的Windows Server實例上觸發(fā)惡意代碼執(zhí)行。

Herscovici辯稱，本地網(wǎng)絡上的任何攻擊者，無論是物理上還是對受感染工作站的控制，都可以中繼這些惡意TFTP數(shù)據(jù)包，并有效地接管Windows Server。

研究人員告訴ZDNet： “從理論上講，如果服務器暴露在外部，那么它也應該可以正常工作，但是該服務通常在LAN內部使用。”

他說：“主要的攻擊流程是墻入式攻擊。這是攻擊者將筆記本電腦物理連接到公司內部的網(wǎng)絡端口時的情況，這是常見的情況。”

如果攻擊者接管Windows Server，則他們可以完全控制整個本地網(wǎng)絡，并且可以輕松地使用相同的WDS服務將后門Windows版本部署到本地系統(tǒng)。

微軟和Herscovici都沒有意識到黑客試圖利用此漏洞進行的任何攻擊，但是由于Herscovici的內容現(xiàn)已公開，因此在未來幾個月中可能會有所改變。

如果由于各種不兼容性而導致Windows Server管理員延遲安裝2018年11月安全更新，那么這可能是趕上他們的補丁工作的好時機。安裝此安全補丁程序之外，沒有其他解決方法或緩解措施。