远程桌面客户端远程代码执行漏洞

此 RCE 漏洞的潜在影响非常严重。攻击者可以利用该漏洞在受感染的客户端计算机上执行任意代码，从而获取对系统的完全控制权。这可能导致数据泄露、恶意软件安装、甚至整个网络的破坏。攻击者可能通过精心构造的连接请求触发此漏洞，无需身份验证。由于 Remote Desktop Client 广泛使用，该漏洞的潜在影响范围非常广，可能影响大量用户和组织。该漏洞的利用方式类似于其他路径遍历漏洞，攻击者可以通过控制文件路径来执行恶意代码。

Organizations heavily reliant on Remote Desktop Client for remote access to Windows systems are particularly at risk. Environments with legacy systems running older, unpatched versions of the client are also vulnerable. Shared hosting environments where multiple users share the same Remote Desktop Client installation should be prioritized for patching.

• windows / supply-chain:

Get-Process -Name RemoteDesktopClient | Select-Object -ExpandProperty Path

• windows / supply-chain:

Get-WinEvent -LogName Application -Filter "EventID=1001" -MaxEvents 10 | Select-String -Pattern "RemoteDesktopClient"

• windows / supply-chain:

reg query "HKLM\SOFTWARE\Microsoft\RemoteDesktopClient" /v Version

1. 2025-03-11Disclosure

   disclosure

1. 已保留2025-02-12
2. 发布日期2025-03-11
3. 修改日期2026-02-13
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 Remote Desktop Client 升级至 10.0.26100.3476 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制对 Remote Desktop Client 的网络访问，仅允许来自受信任来源的连接。实施严格的网络分段，以限制攻击者在成功利用漏洞后可以访问的系统范围。监控网络流量，以检测可疑的连接尝试。由于该漏洞涉及路径遍历，因此禁用或限制客户端对服务器文件系统的访问可能有助于降低风险。升级后，请验证修复是否成功，例如通过尝试使用已知安全连接进行连接。