Windows远程桌面网关UAF漏洞允许远程代码执行

微软的远程桌面网关(RD Gateway)中的一个关键漏洞,可能允许攻击者在受影响的系统上远程执行恶意代码。

该漏洞被跟踪为CVE-2025-21297,由微软在2025年1月的安全更新中披露,此后一直被野外积极利用。

昆仑实验室的VictorV(Tang Tianwen)发现并报告的缺陷源于远程桌面网关服务初始化期间由并发套接连接触发的无使用(UAF)错误。

具体来说,该漏洞存在于 aaedge.dll 库中,在 CTsgMsgServer::GetCTsgMsgServerInstance 函数中,其中全局指针(m_pMsgSvrInstance)在没有正确线程同步的情况下初始化全局指针(m_pMsgSvrInstance)。

“当多个线程可以覆盖相同的全局指针,损坏参考计数并最终导致悬空指针的延迟 – 经典的UAF场景时,就会发生漏洞security advisory,”安全咨询解释说。

比赛条件允许攻击者利用内存分配和指针分配不同步的定时问题,可能导致任意代码执行。Microsoft 已将该漏洞的 CVSS 分数分配为 8.1,表明其严重程度很高。

Windows 远程桌面网关 UAF 漏洞

根据研究人员的说法,成功的利用需要攻击者:

1. 连接到运行 RD Gateway 角色的系统。
2. 触发与 RD 网关的并发连接(通过多个套接字 ) 。
3. 利用内存分配和指针分配发生不同步的定时问题。
4. 导致一个连接在另一个连接完成引用之前覆盖指针。

该漏洞涉及线程之间堆碰撞的九步时间线,导致最终使用自由内存块,为任意代码执行打开大门。

使用 RD 网关进行安全远程访问的多个版本的 Windows Server 都容易受到攻击,包括:

• Windows Server 2016(核心和标准安装)。
• Windows Server 2019(核心和标准安装)。
• Windows Server 2022(核心和标准安装)。
• Windows Server 2025(核心和标准安装)。

使用 RD Gateway 作为远程工作的员工、承包商或合作伙伴的关键接入点的组织尤其面临风险。

微软在2025年5月通过引入基于互动器的同步来解决该漏洞,确保在任何给定时间只有一个线程可以初始化全局实例。提供以下安全更新:

• Windows Server 2016:更新KB5050011。
• Windows Server 2019:更新KB5050008(Build 10.0.17763.6775)。
• Windows Server 2022:更新KB5049983(Build 1.0.2.0348.30391)。
• Windows Server 2025:更新KB5050009(Build 10.0.26100.2894)。

安全专家强烈敦促组织立即应用这些补丁。“对于依赖远程桌面网关进行安全远程访问的企业环境来说,此漏洞构成了关键风险,”一位熟悉该问题的安全研究人员指出。

在应用补丁之前,建议组织监控RD Gateway日志以查找异常活动,并考虑实施网络级保护,以限制与可信源的传入连接。