Windows内置远程桌面连接工具(Remote Desktop Connection Manager,RDCMan)传出有漏洞,微软直接宣布将之退役,呼吁用户改用新的MSTSC或Remote Desktop App。
RDCMan的漏洞编号CVE-2020-0765是由中国平安科技安全研究人员Ethan Sterling发现,出在解析包含外部参照的XML内容过程发生错误,成功开采本漏洞的攻击者,可以通过注入XML外部实体(XXE)声明来读取任意文件,造成信息外泄。
RDCMan原是微软Live Experience部门内部使用的工具,大约2009年前后开放下载。在还没有其他类似工具前,RDCMan很受欢迎,但它作为远程管理其实功能并不齐全。微软后来在Windows内置了远程管理工具MSTSC(Microsoft terminal services client),还发布可单独下载的远程桌面(Remote Desktop)App。RDCMan自2014年11月发布2.7后即未再更新。微软去年即呼吁用户转到MSTSC或Remote Desktop App。
CVE-2020-0765影响的即是RDCMan 2.7。攻击者可以添加包含改造过的XML内容的RDCMan组态(RDG)档,以邮件或其他方式传给用户,诱使具有授权的用户打开文件即可开采本漏洞。
虽然目前RDCMan还是拥有不少爱用者,但借由这次漏洞,微软毕其功于一役,宣布终止RDCMan。微软表示已让该App退役,因此不会修补RDCMan漏洞。微软再次呼吁客户改用MSTSC或Remote Desktop App,打开RDCMan组态档(.rdg)时也要特别留意。