微軟遠端桌面用戶端漏洞可讓駭客執行遠端程式碼，但微軟不願修補

以色列安全廠商Cymulate發現，微軟遠端桌面用戶端（Remote Desktop Client）一項漏洞，讓駭客可以繞過安全驗證而在Windows系統執行惡意程式碼。不過微軟認為攻擊不易，因而拒絕修補。

在建立遠端桌面連線時，微軟遠端桌面用戶端（舊稱Microsoft Terminal Service Client，MSTSC）需要呼叫mstscax.dll等DLL檔案，使Windows和遠端電腦或虛擬機器建立網路連線。這家廠商發現攻擊者可以透過微軟RDP（Remote Desktop Protocol）執行DLL側載（DLL Side-Loading），繞過安全檢查執行惡意程式碼。

Cymulate研究人員指出，現行Windows設計下，執行檔載入mstscax.dll並不會驗證函式庫程式碼的安全性，因此攻擊者可將C:\Windows\System 32資料夾中的mstscax.dll以同名惡意檔案置換掉，在合法程序掩護下執行惡意行為。

研究人員通報微軟後，微軟並未加以修補，理由是在Windows\System 32資料夾下置換DLL檔案需要管理員權限，因此不認為是威脅。

但研究人員指出有不需要管理權限的攻擊方法。只要將mstscax.dll複製到外部資料夾，則mstsc.exe就不是從system 32資料夾載入DLL檔，也就不需管理員權限。這麼一來，駭客就可以在已獲得簽章的mstsc.exe中執行惡意程式碼，並繞過AppLocker等安全檢查。

DLL side-loading為新興攻擊手法，近年一些APT惡意程式即透過DLL Side-loading技術，將惡意程式隱藏在一些常見程式的根目錄中，如Version.dll、Comres.dll、rasaut64.dll和rasaut.dll（64位元），利用電腦開機優先載入系統system.dll程式的特性，優先載入這些偽裝成正常程式的惡意程式。

安全專家建議，為防Windows遠端桌面的漏洞遭到濫用，企業可以關閉mstsc.exe、並利用安全監控工具來防止mstsc.exe的異常行為，此外，也應詳細檢查資料夾下的mstscax.dll是真的還是冒牌貨。