CVE-2026-25172等RRAS三连RCE漏洞：检测脚本与防护配置实战清单

📅 2026/6/25 14:52:45 👁️ 次浏览

2026年3月微软安全更新披露了路由和远程访问服务RRAS的三个远程代码执行漏洞编号分别为CVE-2026-25172、CVE-2026-25173、CVE-2026-26111。其中两个漏洞CVSS评分达到9.8属于无需认证即可触发的致命级风险。为覆盖无法重启的企业设备微软紧急推送了无需重启的热补丁KB5084597但推送仅14小时就因大范围兼容性故障暂停了自动安装通道。这次事件牵扯出两个核心问题一是RRAS作为企业内网高频使用的基础组件漏洞影响面远超预期二是热补丁机制在安全和稳定性之间的平衡再次失控。本文从底层原理、资产排查、检测脚本、防护配置到应急流程完整拆解这次三连漏洞的处置全链路所有脚本和配置均可直接落地使用。一、事件全景三连RCE漏洞与微软补丁紧急刹车1.1 三个漏洞的核心画像三个漏洞全部指向RRAS组件的内存处理缺陷根源均为整数溢出触发的堆缓冲区越界写入最终都能实现SYSTEM权限的远程代码执行。但触发入口和利用条件有明显区别。CVE-2026-25172CVSS 9.8。攻击侧为恶意客户端目标是公网暴露的RRAS服务器。攻击者无需身份认证直接向目标服务器的VPN端口发送特制数据包触发服务端解析逻辑的整数溢出直接在服务器上执行任意代码。这个漏洞威胁最大只要RRAS端口对公网开放攻击者就能批量扫描利用全程无用户交互。CVE-2026-25173CVSS 9.8。同样是服务端漏洞但需要经过域内身份认证的攻击者才能触发。漏洞位于RRAS的路由协议数据包解析模块攻击者发送畸形的路由更新报文触发溢出后实现RCE同时可能导致RRAS服务崩溃造成VPN业务中断。CVE-2026-26111CVSS 9.0。攻击侧为恶意RRAS服务器目标是使用RRAS管理控制台的运维终端。攻击者搭建恶意服务器通过钓鱼诱导管理员用MMC管理单元连接该服务器服务器返回的畸形响应包会触发客户端管理工具的内存溢出直接在管理员电脑上拿到SYSTEM权限。这个漏洞的攻击路径偏向社工但一旦命中运维人员就能直接横向渗透整个内网。三个漏洞覆盖了服务端和客户端两个攻击面不管是对外提供VPN服务的服务器还是对内管理RRAS的运维电脑都在风险范围内。1.2 热补丁KB5084597的翻车现场常规的月度累积更新已经包含了这三个漏洞的修复但对于开启了Windows Autopatch热补丁功能的企业设备微软单独推送了KB5084597带外热补丁。热补丁的优势是无需重启系统直接在内存中修复进程缺陷适合7*24小时运行的业务服务器和运维终端。补丁推送后不到10小时企业用户的故障反馈开始集中爆发。最先出现的是蓝牙功能异常大量Win11 24H2/25H2设备的蓝牙选项从设置面板消失已配对的鼠标、耳机无法正常连接部分三星笔记本甚至出现C盘访问权限错误办公软件无法启动。随后企业侧爆出更严重的问题部分部署了RRAS角色的域控制器安装补丁后RRAS服务直接无法启动企业远程办公VPN全线中断。还有用户反馈微软账户登录失效Teams、Office 365等办公套件无法验证身份影响范围覆盖了所有安装该热补丁的设备。微软在收到反馈14小时后紧急关闭了该热补丁的自动推送通道仅保留手动安装入口等待后续修订版本。1.3 暂停自动安装的真实影响范围很多人误读为微软撤回了所有漏洞修复实际不是。受暂停影响的只有开启了Windows Autopatch热补丁功能的企业版设备这类设备原本会自动安装KB5084597现在改为需要管理员手动评估后安装。走常规Windows更新渠道的设备不管是家庭版还是专业版3月月度累积更新里的修复代码不受影响正常推送安装也没有兼容性问题。普通个人用户完全不用管这次暂停事件只有企业IT运维需要关注热补丁通道的调整。二、RRAS组件底层架构与漏洞触发原理2.1 RRAS到底是什么企业网络的隐形中枢很多人对RRAS的印象停留在“Windows自带的VPN工具”实际它的功能远不止于此。RRAS全称Routing and Remote Access Service是Windows Server原生自带的多合一网络服务组件集成了VPN服务、软路由、NAT地址转换、拨号接入、站点间隧道等能力。中小企业没有专业硬件防火墙时通常会用一台Windows Server开启RRAS角色同时充当VPN网关、出口路由器和NAT网关。大型企业的分支网点互联也常常用RRAS搭建站点到站点的VPN隧道。甚至很多内网的软路由、远程接入跳板底层都依赖RRAS组件。因为是系统原生组件RRAS默认以SYSTEM权限运行一旦被攻破攻击者直接拿到服务器最高控制权不需要再做权限提升。这也是这次三个漏洞危害等级这么高的核心原因。2.2 RRAS核心组件架构拆解RRAS采用用户态内核态的分层架构不同模块负责不同的网络功能漏洞主要出在用户态的管理解析模块和内核态的数据包转发模块。下图为微软官方的RRAS核心架构图图1 RRAS服务整体架构来源Microsoft Learn从上层到底层可以拆成三层第一层是管理配置层全部运行在用户态。包含RRAS管理API、SNMP代理、路由协议模块RIP、OSPF。我们平时用的MMC路由和远程访问控制台就是调用这一层的API来管理RRAS服务。这次CVE-2026-26111漏洞就出在这一层的数据包解析逻辑里——管理工具接收服务器返回的配置信息时没有校验数据长度直接拷贝到堆内存导致溢出。第二层是核心控制层包含动态接口管理器、连接管理器、PPP控制协议、IP/IPX路由器管理器。这一层负责VPN隧道的建立、会话管理、路由表维护是RRAS的核心调度模块。CVE-2026-25173的漏洞点就在这一层的路由协议报文处理逻辑中。第三层是内核转发层运行在内核态包含IP转发器、包过滤模块、NDIS接口。所有实际的网络数据包转发、NAT地址转换都在这里完成性能很高但一旦出漏洞就是内核级风险。CVE-2026-25172的触发点就在内核态的PPTP协议解析模块未认证的数据包直接进入内核处理溢出后直接在内核层面执行代码。2.3 整数溢出→堆溢出RCE攻击链完整流程三个漏洞的底层利用逻辑高度一致都是先触发整数溢出再造成堆缓冲区越界写入最终通过内存布局操控实现代码执行。我们以最典型的CVE-2026-25172为例拆解完整攻击链。RRAS RCE漏洞攻击流程攻击者构造恶意PPTP控制报文报文中的长度字段设置为一个接近16位整数上限的值比如0xFFFF。RRAS内核模块接收报文后用这个长度值做内存分配计算比如执行“长度8”的运算。16位无符号整数下0xFFFF8会发生溢出结果变成0x0007程序误以为只需要7字节的内存空间。系统按照计算出的7字节大小分配堆内存但实际报文体有65535字节。程序把完整报文写入这块狭小的堆内存直接发生越界写入覆盖掉堆块后面的内存数据。攻击者通过精心构造的填充数据精准覆盖堆管理结构或者函数指针把程序执行流程劫持到自己的Shellcode上。因为RRAS内核模块以SYSTEM权限运行Shellcode直接获得系统最高权限攻击者可以执行任意命令、植入后门、横向渗透。整个过程不需要用户交互不需要账号密码只要目标的1723端口对公网开放攻击者就能完成完整攻击。公开的漏洞分析显示整个利用过程的稳定性超过80%不会轻易造成系统蓝屏。2.4 三个漏洞的差异点触发入口与利用条件虽然底层原理相同但三个漏洞的触发场景和利用门槛差异很大对应的防护重点也完全不同。CVE-2026-25172的触发入口是PPTP协议的控制连接端口TCP 1723。攻击者不需要任何权限属于“零点击”漏洞。公网暴露的RRAS服务器是首要攻击目标也是整个事件里风险最高的漏洞。目前已经有公开的PoC流出批量扫描利用的门槛极低。CVE-2026-25173的触发入口是路由协议报文比如RIP、OSPF的更新包。攻击者需要先接入内网或者通过VPN接入拥有域内普通用户权限才能发送畸形报文。这个漏洞更偏向内网横向渗透拿到普通权限后可以通过它提权到SYSTEM进而控制整台服务器。CVE-2026-26111的触发入口是RRAS管理控制台的远程连接。攻击者需要先搭建恶意RRAS服务器再通过钓鱼邮件、内部聊天工具诱导运维人员用MMC工具连接该服务器。这个漏洞的利用需要社工配合但收益极高——一旦命中域管理员攻击者直接拿到内网最高权限整个域就等于失守。三、受影响资产排查与风险分级3.1 哪些系统在漏洞射程内三个漏洞影响所有原生包含RRAS组件的Windows版本不同系统的修复渠道不同客户端系统Windows 11 24H2、25H2、LTSC 2024。这部分系统可以通过3月月度累积更新修复开启热补丁的设备对应KB5084597。服务器系统Windows Server 2025、Server 2022、Server 2019、Server 2016、Server 2012 R2。所有受支持的服务器版本都在3月补丁中获得了修复其中Server 2025支持热补丁。注意Win10及更早的客户端系统RRAS管理工具同样存在漏洞但微软已经停止对部分旧版本的主流支持不会单独推送热补丁只能通过累积更新修复。判断设备是否受影响核心不是系统版本而是有没有启用RRAS相关功能。哪怕是Win11家庭版只要手动开启了RRAS管理工具连接恶意服务器就会触发CVE-2026-26111。3.2 资产风险分级模型不是所有带RRAS的设备风险都一样我们可以按照暴露面和权限等级把资产分成四级对应不同的处置优先级。极高风险公网直接开放RRAS端口TCP1723、UDP500/4500的服务器。这类设备直接暴露在攻击者扫描范围内随时可能被批量利用必须第一时间处置。高风险内网部署的RRAS服务器、运维人员的管理工作站。前者可能被内网攻击者横向利用后者是社工攻击的核心目标优先级仅次于公网暴露设备。中风险普通员工电脑系统自带RRAS组件但从未主动使用。这类设备不会主动触发漏洞只有被诱导连接恶意服务器时才会中招风险相对可控。低风险完全不涉及RRAS功能的设备比如没有网络管理权限的办公终端。这类设备基本没有触发漏洞的可能正常打补丁即可。3.3 内网RRAS资产批量清点方法很多企业自己都不知道内网有多少台设备开了RRAS角色。批量清点有两种常用方法一种是基于域环境的远程查询一种是基于端口扫描的网络探测。域环境下可以通过PowerShell远程查询所有服务器的服务状态和角色安装情况快速统计出所有启用了RRAS的设备。如果没有域环境也可以用端口扫描工具扫内网的1723、500、4500端口凡是开放这些端口的Windows设备大概率启用了RRAS服务。端口扫描只能发现服务端设备发现不了只装了管理工具的运维终端。要完整清点还是要结合终端管理系统统计所有安装了RRAS管理组件的设备。四、一键检测脚本批量排查漏洞风险下面提供四套可直接复制使用的PowerShell脚本分别对应单主机状态检测、补丁校验、攻击痕迹排查和域环境批量检测所有脚本默认以管理员权限运行。4.1 单主机RRAS启用状态检测脚本这个脚本会检测本机是否安装RRAS角色、RRAS服务是否运行、对应端口是否监听输出清晰的风险判定结果。# RRAS漏洞风险单主机检测脚本功能检测RRAS角色安装状态、服务运行状态、端口监听状态 ## 检查管理员权限$isAdmin([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]Administrator)if(-not$isAdmin){Write-Error请以管理员身份运行PowerShellexit1}Write-Host RRAS漏洞风险检测 -ForegroundColor Cyan# 1. 检测RRAS角色安装状态$rrasFeatureGet-WindowsFeature-Name Routing-ErrorAction SilentlyContinue$featureInstalled$rrasFeature.InstalledWrite-Hostn1. RRAS角色安装状态if($featureInstalled){Write-Host 已安装路由和远程访问角色-ForegroundColor Yellow}else{Write-Host 未安装RRAS服务器角色-ForegroundColor Green}# 2. 检测RRAS服务运行状态$rrasServiceGet-Service-Name RemoteAccess-ErrorAction SilentlyContinue$serviceRunning$falseif($rrasService){$serviceRunning($rrasService.Status-eqRunning)}Write-Hostn2. RRAS服务运行状态if($serviceRunning){Write-Host RemoteAccess服务正在运行-ForegroundColor Yellow}else{Write-Host RemoteAccess服务未运行-ForegroundColor Green}# 3. 检测RRAS相关端口监听$ports (1723,500,4500)$listeningPorts ()foreach($portin$ports){$listenerGet-NetTCPConnection-LocalPort$port-ErrorAction SilentlyContinueif($listener){$listeningPorts$port}}Write-Hostn3. RRAS相关端口监听状态if($listeningPorts.Count-gt0){Write-Host 监听端口$($listeningPorts-join, )-ForegroundColor Red}else{Write-Host 未监听相关端口-ForegroundColor Green}# 4. 风险判定Write-Hostn4. 风险判定if($featureInstalled-and$serviceRunning-and$listeningPorts.Count-gt0){Write-Host 极高风险RRAS服务运行且端口监听若暴露公网可被远程利用-ForegroundColor Red}elseif($featureInstalled-and$serviceRunning){Write-Host 高风险RRAS服务运行内网环境存在横向利用风险-ForegroundColor Yellow}elseif($featureInstalled){Write-Host 中风险已安装RRAS角色服务未启动-ForegroundColor Yellow}else{Write-Host 低风险未安装RRAS服务器角色-ForegroundColor Green}Write-Hostn 检测完成 -ForegroundColor Cyan4.2 补丁安装状态校验脚本这个脚本会检测系统是否安装了包含漏洞修复的月度累积更新以及是否安装了KB5084597热补丁。# RRAS漏洞补丁检测脚本功能检测3月累积更新及KB5084597热补丁安装状态 #$isAdmin([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]Administrator)if(-not$isAdmin){Write-Error请以管理员身份运行PowerShellexit1}Write-Host RRAS漏洞补丁状态检测 -ForegroundColor Cyan# 获取已安装的更新列表$installedUpdatesGet-HotFix|Select-Object-ExpandProperty HotFixID# 热补丁KB编号$hotpatchKBKB5084597# 各系统对应修复累积更新KB2026年3月补丁星期二$cumulativeKBs (KB5084290,# Win11 25H2KB5084283,# Win11 24H2 / Server 2025KB5084287,# Win11 LTSC 2024KB5084276,# Server 2022KB5084271,# Server 2019KB5084266# Server 2016)Write-Hostn1. 热补丁KB5084597状态if($installedUpdates-contains$hotpatchKB){Write-Host 已安装KB5084597热补丁-ForegroundColor Green}else{Write-Host 未安装KB5084597热补丁-ForegroundColor Yellow}Write-Hostn2. 月度累积修复补丁状态$patched$falseforeach($kbin$cumulativeKBs){if($installedUpdates-contains$kb){$patched$trueWrite-Host 已安装修复补丁$kb-ForegroundColor Greenbreak}}if(-not$patched){Write-Host 未检测到2026年3月修复累积更新-ForegroundColor RedWrite-Host 请尽快安装当月Windows安全更新-ForegroundColor Red}Write-Hostn 检测完成 -ForegroundColor Cyan4.3 攻击痕迹日志检测脚本这个脚本会扫描系统日志中RRAS服务的崩溃记录、异常错误事件判断是否有漏洞利用尝试的痕迹。# RRAS漏洞攻击痕迹检测脚本功能扫描系统日志中RRAS相关的崩溃、异常事件 #$isAdmin([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]Administrator)if(-not$isAdmin){Write-Error请以管理员身份运行PowerShellexit1}Write-Host RRAS攻击痕迹检测 -ForegroundColor Cyan# 检索近7天系统日志中RRAS相关的服务崩溃、错误事件$startTime(Get-Date).AddDays(-7)$eventsGet-WinEvent-FilterHashtable {LogName SystemProviderName Service Control ManagerID 7031,7034,7026 StartTime $startTime}-ErrorAction SilentlyContinue|Where-Object{$_.Message-matchRemoteAccess|RRAS|路由和远程访问}Write-Hostn近7天RRAS服务异常事件统计if($events.Count-gt0){Write-Host 检测到$($events.Count)条RRAS服务异常事件-ForegroundColor RedWrite-Host 事件详情$events|ForEach-Object{Write-Host - 时间$($_.TimeCreated)事件ID$($_.ID)Write-Host 描述$($_.Message.Split(n)[0])}Write-Hostn 提示频繁的服务崩溃可能是漏洞利用尝试失败导致-ForegroundColor Yellow}else{Write-Host 未检测到RRAS服务异常崩溃事件-ForegroundColor Green}# 检查安全日志中的异常登录事件$secEventsGet-WinEvent-FilterHashtable {LogName SecurityID 4625 StartTime $startTime}-ErrorAction SilentlyContinue|Where-Object{$_.Message-matchVPN|远程访问}Write-Hostn近7天VPN相关登录失败事件统计if($secEvents.Count-gt0){Write-Host 检测到$($secEvents.Count)条VPN登录失败事件-ForegroundColor Yellow}else{Write-Host 未检测到异常VPN登录失败事件-ForegroundColor Green}Write-Hostn 检测完成 -ForegroundColor Cyan4.4 域环境批量检测脚本这个脚本适用于AD域环境可以批量查询域内所有Windows服务器的RRAS状态输出完整的资产清单。# 域环境RRAS资产批量检测脚本依赖ActiveDirectory模块需在域控或安装了RSAT工具的设备上运行 ## 检查模块if(-not(Get-Module-Name ActiveDirectory-ListAvailable)){Write-Error未安装ActiveDirectory模块请先安装RSAT-AD-PowerShell功能exit1}Import-ModuleActiveDirectory-ErrorAction StopWrite-Host 域内RRAS资产批量检测 -ForegroundColor Cyan# 获取域内所有Windows服务器$serversGet-ADComputer-Filter{OperatingSystem-like*Server*}-Properties OperatingSystem,IPv4AddressWrite-Hostn共检索到域内服务器$($servers.Count)台开始检测...$results ()$count 0foreach($serverin$servers){$count$hostname$server.Name$ip$server.IPv4AddressWrite-Progress-Activity正在检测-Status$count/$($servers.Count):$hostname-PercentComplete($count/$servers.Count*100)$result[PSCustomObject]{主机名 $hostnameIP地址 $ip系统版本 $server.OperatingSystem RRAS角色安装检测失败RRAS服务运行检测失败风险等级未知}# 远程查询服务状态try{$serviceGet-Service-Name RemoteAccess-ComputerName$hostname-ErrorAction Stop$result.RRAS服务运行 if($service.Status-eqRunning){是}else{否}# 远程查询角色安装$featureInvoke-Command-ComputerName$hostname-ScriptBlock{Get-WindowsFeature-Name Routing|Select-Object-ExpandProperty Installed}-ErrorAction Stop$result.RRAS角色安装 if($feature){是}else{否}# 风险判定if($result.RRAS角色安装-eq是-and$result.RRAS服务运行-eq是){$result.风险等级高风险}elseif($result.RRAS角色安装-eq是){$result.风险等级中风险}else{$result.风险等级低风险}}catch{# 连接失败不中断记录状态}$results$result}Write-Progress-Activity正在检测-CompletedWrite-Hostn检测完成结果如下-ForegroundColor Cyan# 输出结果并导出CSV$results|Format-Table-AutoSize$exportPath.\域内RRAS资产检测结果.csv$results|Export-Csv-Path$exportPath-NoTypeInformation-Encoding UTF8Write-Hostn结果已导出至$exportPath-ForegroundColor Green五、分级防护配置清单防护要按照优先级来先堵最高危的口子再做持久加固。下面的配置全部可以直接落地按顺序执行即可。5.1 最高优先级补丁修复的正确姿势补丁是最根本的修复方式不同类型的设备要走不同的补丁渠道不要盲目安装热补丁。公网暴露的RRAS服务器立刻安装2026年3月月度累积更新不要等热补丁。累积更新的修复更完整没有兼容性问题业务允许的话重启后最稳妥。内网RRAS服务器同样优先安装月度累积更新。如果业务不能停机再评估安装KB5084597热补丁安装前先在测试环境验证蓝牙、账户登录、RRAS服务是否正常避免生产环境出故障。运维管理终端安装月度累积更新即可。不要单独安装热补丁终端设备重启成本低常规更新更稳定。热补丁通道的企业暂时关闭RRAS热补丁的自动推送等微软发布修订版KB后再恢复。已经安装了热补丁且出现兼容问题的设备可以通过控制面板卸载KB5084597回滚后安装常规累积更新。5.2 临时缓解端口封禁与服务降级暂时打不了补丁的设备先做临时缓解把攻击面降到最低。服务器侧的操作公网防火墙直接封禁TCP 1723、UDP 500、UDP 4500端口的入站访问。如果必须对外提供VPN服务只开放给指定的公网IP段不要全端口放通。不需要RRAS功能的服务器直接卸载路由和远程访问角色彻底消除风险。卸载命令Uninstall-WindowsFeature-Name Routing-Restart:$false暂时保留RRAS服务的先停止服务并设置为禁用等打完补丁再恢复Stop-ServiceRemoteAccess-ForceSet-ServiceRemoteAccess-StartupType Disabled客户端侧的操作禁止运维人员使用RRAS管理控制台连接未知、不可信的远程服务器尤其是外网的RRAS节点。非运维人员的终端直接禁用RRAS管理工具关闭触发入口。可以通过组策略禁用MMC管理单元中的路由和远程访问 snap-in。5.3 运维侧防护管理入口锁死策略CVE-2026-26111针对的是运维管理端这部分很多企业容易忽略。针对管理入口要做三层防护。第一层管理网络隔离。RRAS服务器的管理端口只允许运维网段访问禁止普通业务网段的设备连接RRAS管理接口。第二层管理身份强验证。所有RRAS管理操作都通过堡垒机跳转禁止直接用本地终端连接远程RRAS服务器即使是内网也不行。第三层管理工具白名单。只允许指定的运维终端安装RRAS管理工具普通员工终端直接卸载管理组件从根源上消除客户端漏洞的触发条件。5.4 边界防护流量侧拦截规则在防火墙、IDS/IPS设备上配置针对性的拦截规则可以在补丁安装之前挡住大部分批量扫描攻击。针对CVE-2026-25172的流量特征拦截规则可以设置为检测PPTP控制报文TCP 1723端口的Payload长度超过64KB的直接丢弃。正常PPTP控制报文不会超过1KB超大报文基本都是攻击载荷。检测PPTP报文中的长度字段异常比如长度字段值小于报文实际长度的直接阻断连接。开启IPS的RRAS漏洞攻击特征检测现在主流厂商的IPS已经更新了这三个漏洞的攻击特征。注意流量拦截只能缓解不能彻底防御。攻击者可以拆分数据包、构造符合长度限制的畸形报文绕过检测最终还是要靠补丁修复。5.5 持久加固RRAS服务最小权限配置打完补丁之后要做持久化加固降低未来再出同类漏洞的危害。第一最小化角色安装。RRAS不需要的功能全部关掉比如只用来做VPN就不要开路由功能只做NAT就不要开拨号接入。功能开得越少攻击面越小。第二降权运行。默认RRAS以SYSTEM权限运行可以通过服务配置把RRAS服务的运行账号改成低权限的服务账号即使被攻破攻击者也拿不到最高权限。不过改权限可能影响部分功能要先在测试环境验证。第三增强日志审计。开启RRAS的详细日志记录把所有连接请求、管理操作都记录下来对接SIEM系统做异常检测。比如短时间内大量来自同一IP的连接请求、异常的报文大小都可以设置告警。第四定期漏洞扫描。每月补丁更新后用漏洞扫描器扫一遍所有RRAS资产确认补丁都安装到位没有遗漏。六、应急响应与攻击处置流程如果漏洞已经公开且有批量利用趋势企业要按照标准应急流程处置不要等出事了再手忙脚乱。6.1 漏洞预警后的72小时处置Timeline0-4小时确认影响范围。用上面的检测脚本清点所有RRAS资产统计公网暴露数量、内网服务器数量、运维终端数量按照风险等级排序。同时确认现有补丁覆盖情况哪些设备已经打了补丁哪些还没打。4-24小时高危资产加固。先给所有公网暴露的RRAS服务器打补丁打不了的先封端口、停服务。同时给所有运维终端推送补丁封禁RRAS管理端口的外网访问。同步在边界设备上更新IPS规则拦截攻击流量。24-48小时全量补丁部署。分批给内网所有RRAS资产安装补丁业务系统安排变更窗口错峰重启。同时开展全员安全提醒告知不要点击陌生的RRAS连接地址防范社工攻击。48-72小时验证与复盘。扫描所有资产的补丁安装状态确认修复率100%。复盘整个处置过程统计资产清点耗时、补丁部署耗时优化下次漏洞应急的流程。6.2 疑似攻击后的排查步骤如果发现RRAS服务器异常崩溃、或者告警显示有漏洞利用尝试立刻启动排查。第一步网络侧排查。查防火墙日志看有没有来自陌生IP的大量PPTP连接请求有没有超大报文的流量记录。把可疑IP加入黑名单先阻断攻击源第二步主机侧排查。查RRAS服务的崩溃日志看崩溃频率和时间点。查系统进程有没有陌生的异常进程、可疑的计划任务。查用户账户有没有新增的管理员账号。第三步内存与文件排查。抓取RRAS进程的内存dump分析有没有Shellcode注入痕迹。查系统临时目录、回收站有没有可疑的恶意文件。查最近的文件修改记录看系统文件有没有被篡改。第四步横向渗透排查。如果服务器已经失陷立刻查这台服务器的对内连接记录看攻击者有没有用它做跳板访问其他内网设备有没有横向移动的痕迹。6.3 失陷主机的处置规范确认主机已经被攻击者控制按照以下流程处置不要直接重启避免丢失证据。网络隔离。先把失陷主机从内网断开拔掉网线或者在交换机端口禁用防止攻击者继续横向渗透。注意不要立刻关机内存里的攻击痕迹关机就没了。现场取证。先抓取内存镜像再导出系统日志、安全日志、RRAS日志最后拷贝可疑文件。所有取证操作都要写记录保留证据链。恶意清除。如果要保留系统先结束恶意进程删除恶意文件、后门账号、计划任务再修复被篡改的系统文件。但更推荐直接重装系统彻底清除所有后门。补丁加固。系统恢复后立刻安装所有安全补丁按照前面的加固清单做安全配置确认没有风险后再接入内网。溯源分析。事后分析攻击入口、攻击者停留时间、窃取了哪些数据、有没有扩散到其他设备输出完整的应急报告。七、行业延伸企业远程接入安全的长期解法这次RRAS三连漏洞不是孤立事件。最近几年Windows的远程接入组件频繁爆出高危漏洞从RDP到RRAS再到RPC远程管理传统的边界信任模式已经越来越难扛住攻击。企业要从架构层面调整远程访问的安全思路。7.1 RRAS之外的VPN替代方案对于还在用Windows RRAS当主力VPN的企业可以考虑更安全的替代方案降低对系统原生组件的依赖。第一种专用硬件VPN网关。比如深信服、奇安信、华为的硬件VPN设备有专门的安全团队维护漏洞响应比系统组件快而且硬件级的隔离性更好即使VPN组件出漏洞也不会直接影响整个服务器系统。第二种开源VPN方案。比如WireGuard、OpenVPN代码开源社区审计充分漏洞发现快而且配置灵活可以部署在Linux服务器上避开Windows组件的风险。第三种零信任访问方案。这是现在的主流趋势不用传统的VPN隧道而是基于身份的应用层访问控制。用户不需要接入整个内网只能访问自己权限内的应用即使账号泄露攻击者也碰不到核心服务器。7.2 远程访问安全架构演进方向未来的远程访问架构会从“网络层准入”转向“应用层准入”从“信任边界内的所有设备”转向“永不信任始终验证”。具体落地有三个方向第一身份优先。所有远程访问都先做强身份验证多因素认证是标配还要结合设备指纹、登录环境、行为特征做动态风险判定。异常登录直接拦截哪怕账号密码正确也不行。第二最小权限。远程用户只能访问指定的应用和端口不能直接连通整个内网。比如运维人员只能连指定服务器的远程桌面开发人员只能连代码仓库权限颗粒度越细越好。第三持续校验。不是登录时验证一次就完事访问过程中持续检测行为异常。比如用户平时只传小文件突然开始批量下载大量数据立刻触发二次验证或者中断会话。7.3 热补丁时代的补丁管理策略这次热补丁翻车事件也给企业提了个醒热补丁不是万能的它能免重启但也会带来兼容性风险。企业的补丁管理策略要适配热补丁机制。首先分级补丁渠道。核心业务服务器用热补丁优先保证业务连续性非核心设备和终端用常规累积更新保证修复稳定性。不要所有设备都开热补丁。其次补丁灰度发布。不管是热补丁还是常规补丁都先在测试环境部署验证24小时没问题再推给小部分生产设备最后全量推送。不要一上来就全量更新一出问题就是大面积故障。最后补丁回滚预案。所有补丁部署前都要准备好回滚方案热补丁要能快速卸载常规更新要有系统备份。一旦出现兼容故障能在最短时间内恢复业务。这次RRAS三连漏洞暴露了很多企业对基础网络组件的安全盲区很多设备开了RRAS自己都不知道出事了才清点资产。两个问题留给大家讨论你们公司的远程接入用的是RRAS还是专用VPN设备有没有遇到过这类系统组件漏洞的冲击针对热补丁的兼容性风险你们有什么成熟的管控经验欢迎在评论区分享你的看法和处置经验。

相关新闻