CVE-2026-25172等RRAS三连RCE漏洞：检测脚本与防护配置实战清单

2026年3月，微软安全更新披露了路由和远程访问服务（RRAS）的三个远程代码执行漏洞，编号分别为CVE-2026-25172、CVE-2026-25173、CVE-2026-26111。其中两个漏洞CVSS评分达到9.8，属于无需认证即可触发的致命级风险。为覆盖无法重启的企业设备，微软紧急推送了无需重启的热补丁KB5084597，但推送仅14小时就因大范围兼容性故障暂停了自动安装通道。

这次事件牵扯出两个核心问题：
一是RRAS作为企业内网高频使用的基础组件，漏洞影响面远超预期；
二是热补丁机制在安全和稳定性之间的平衡再次失控。

本文从底层原理、资产排查、检测脚本、防护配置到应急流程，完整拆解这次三连漏洞的处置全链路，所有脚本和配置均可直接落地使用。

一、事件全景：三连RCE漏洞与微软补丁紧急刹车

1.1 三个漏洞的核心画像

三个漏洞全部指向RRAS组件的内存处理缺陷，根源均为整数溢出触发的堆缓冲区越界写入，最终都能实现SYSTEM权限的远程代码执行。但触发入口和利用条件有明显区别。

1. CVE-2026-25172，CVSS 9.8。攻击侧为恶意客户端，目标是公网暴露的RRAS服务器。攻击者无需身份认证，直接向目标服务器的VPN端口发送特制数据包，触发服务端解析逻辑的整数溢出，直接在服务器上执行任意代码。这个漏洞威胁最大，只要RRAS端口对公网开放，攻击者就能批量扫描利用，全程无用户交互。
2. CVE-2026-25173，CVSS 9.8。同样是服务端漏洞，但需要经过域内身份认证的攻击者才能触发。漏洞位于RRAS的路由协议数据包解析模块，攻击者发送畸形的路由更新报文，触发溢出后实现RCE，同时可能导致RRAS服务崩溃，造成VPN业务中断。
3. CVE-2026-26111，CVSS 9.0。攻击侧为恶意RRAS服务器，目标是使用RRAS管理控制台的运维终端。攻击者搭建恶意服务器，通过钓鱼诱导管理员用MMC管理单元连接该服务器，服务器返回的畸形响应包会触发客户端管理工具的内存溢出，直接在管理员电脑上拿到SYSTEM权限。这个漏洞的攻击路径偏向社工，但一旦命中运维人员，就能直接横向渗透整个内网。

三个漏洞覆盖了服务端和客户端两个攻击面，不管是对外提供VPN服务的服务器，还是对内管理RRAS的运维电脑，都在风险范围内。

1.2 热补丁KB5084597的翻车现场

常规的月度累积更新已经包含了这三个漏洞的修复，但对于开启了Windows Autopatch热补丁功能的企业设备，微软单独推送了KB5084597带外热补丁。热补丁的优势是无需重启系统，直接在内存中修复进程缺陷，适合7*24小时运行的业务服务器和运维终端。

补丁推送后不到10小时，企业用户的故障反馈开始集中爆发。最先出现的是蓝牙功能异常：大量Win11 24H2/25H2设备的蓝牙选项从设置面板消失，已配对的鼠标、耳机无法正常连接，部分三星笔记本甚至出现C盘访问权限错误，办公软件无法启动。

随后企业侧爆出更严重的问题：部分部署了RRAS角色的域控制器，安装补丁后RRAS服务直接无法启动，企业远程办公VPN全线中断。还有用户反馈微软账户登录失效，Teams、Office 365等办公套件无法验证身份，影响范围覆盖了所有安装该热补丁的设备。

微软在收到反馈14小时后，紧急关闭了该热补丁的自动推送通道，仅保留手动安装入口，等待后续修订版本。

1.3 暂停自动安装的真实影响范围

很多人误读为微软撤回了所有漏洞修复，实际不是。

受暂停影响的只有开启了Windows Autopatch热补丁功能的企业版设备，这类设备原本会自动安装KB5084597，现在改为需要管理员手动评估后安装。

走常规Windows更新渠道的设备，不管是家庭版还是专业版，3月月度累积更新里的修复代码不受影响，正常推送安装，也没有兼容性问题。

普通个人用户完全不用管这次暂停事件，只有企业IT运维需要关注热补丁通道的调整。

二、RRAS组件底层架构与漏洞触发原理

2.1 RRAS到底是什么：企业网络的隐形中枢

很多人对RRAS的印象停留在“Windows自带的VPN工具”，实际它的功能远不止于此。RRAS全称Routing and Remote Access Service，是Windows Server原生自带的多合一网络服务组件，集成了VPN服务、软路由、NAT地址转换、拨号接入、站点间隧道等能力。

中小企业没有专业硬件防火墙时，通常会用一台Windows Server开启RRAS角色，同时充当VPN网关、出口路由器和NAT网关。大型企业的分支网点互联，也常常用RRAS搭建站点到站点的VPN隧道。甚至很多内网的软路由、远程接入跳板，底层都依赖RRAS组件。

因为是系统原生组件，RRAS默认以SYSTEM权限运行，一旦被攻破，攻击者直接拿到服务器最高控制权，不需要再做权限提升。这也是这次三个漏洞危害等级这么高的核心原因。

2.2 RRAS核心组件架构拆解

RRAS采用用户态+内核态的分层架构，不同模块负责不同的网络功能，漏洞主要出在用户态的管理解析模块和内核态的数据包转发模块。

下图为微软官方的RRAS核心架构图：

图1 RRAS服务整体架构（来源：Microsoft Learn）

从上层到底层可以拆成三层：

第一层是管理配置层，全部运行在用户态。

包含RRAS管理API、SNMP代理、路由协议模块（RIP、OSPF）。我们平时用的MMC路由和远程访问控制台，就是调用这一层的API来管理RRAS服务。这次CVE-2026-26111漏洞就出在这一层的数据包解析逻辑里——管理工具接收服务器返回的配置信息时，没有校验数据长度，直接拷贝到堆内存导致溢出。

第二层是核心控制层，包含动态接口管理器、连接管理器、PPP控制协议、IP/IPX路由器管理器。

这一层负责VPN隧道的建立、会话管理、路由表维护，是RRAS的核心调度模块。CVE-2026-25173的漏洞点就在这一层的路由协议报文处理逻辑中。

第三层是内核转发层，运行在内核态，包含IP转发器、包过滤模块、NDIS接口。

所有实际的网络数据包转发、NAT地址转换都在这里完成，性能很高，但一旦出漏洞就是内核级风险。CVE-2026-25172的触发点就在内核态的PPTP协议解析模块，未认证的数据包直接进入内核处理，溢出后直接在内核层面执行代码。

2.3 整数溢出→堆溢出：RCE攻击链完整流程

三个漏洞的底层利用逻辑高度一致，都是先触发整数溢出，再造成堆缓冲区越界写入，最终通过内存布局操控实现代码执行。我们以最典型的CVE-2026-25172为例，拆解完整攻击链。

RRAS RCE漏洞攻击流程

1. 攻击者构造恶意PPTP控制报文，报文中的长度字段设置为一个接近16位整数上限的值，比如0xFFFF。
2. RRAS内核模块接收报文后，用这个长度值做内存分配计算，比如执行“长度+8”的运算。16位无符号整数下，0xFFFF+8会发生溢出，结果变成0x0007，程序误以为只需要7字节的内存空间。
3. 系统按照计算出的7字节大小分配堆内存，但实际报文体有65535字节。程序把完整报文写入这块狭小的堆内存，直接发生越界写入，覆盖掉堆块后面的内存数据。
4. 攻击者通过精心构造的填充数据，精准覆盖堆管理结构或者函数指针，把程序执行流程劫持到自己的Shellcode上。
5. 因为RRAS内核模块以SYSTEM权限运行，Shellcode直接获得系统最高权限，攻击者可以执行任意命令、植入后门、横向渗透。

整个过程不需要用户交互，不需要账号密码，只要目标的1723端口对公网开放，攻击者就能完成完整攻击。公开的漏洞分析显示，整个利用过程的稳定性超过80%，不会轻易造成系统蓝屏。

2.4 三个漏洞的差异点：触发入口与利用条件

虽然底层原理相同，但三个漏洞的触发场景和利用门槛差异很大，对应的防护重点也完全不同。

1. CVE-2026-25172的触发入口是PPTP协议的控制连接，端口TCP 1723。攻击者不需要任何权限，属于“零点击”漏洞。公网暴露的RRAS服务器是首要攻击目标，也是整个事件里风险最高的漏洞。目前已经有公开的PoC流出，批量扫描利用的门槛极低。
2. CVE-2026-25173的触发入口是路由协议报文，比如RIP、OSPF的更新包。攻击者需要先接入内网，或者通过VPN接入，拥有域内普通用户权限才能发送畸形报文。这个漏洞更偏向内网横向渗透，拿到普通权限后可以通过它提权到SYSTEM，进而控制整台服务器。
3. CVE-2026-26111的触发入口是RRAS管理控制台的远程连接。攻击者需要先搭建恶意RRAS服务器，再通过钓鱼邮件、内部聊天工具诱导运维人员用MMC工具连接该服务器。这个漏洞的利用需要社工配合，但收益极高——一旦命中域管理员，攻击者直接拿到内网最高权限，整个域就等于失守。

三、受影响资产排查与风险分级

3.1 哪些系统在漏洞射程内

三个漏洞影响所有原生包含RRAS组件的Windows版本，不同系统的修复渠道不同：

• 客户端系统：Windows 11 24H2、25H2、LTSC 2024。这部分系统可以通过3月月度累积更新修复，开启热补丁的设备对应KB5084597。
• 服务器系统：Windows Server 2025、Server 2022、Server 2019、Server 2016、Server 2012 R2。所有受支持的服务器版本都在3月补丁中获得了修复，其中Server 2025支持热补丁。
• 注意：Win10及更早的客户端系统，RRAS管理工具同样存在漏洞，但微软已经停止对部分旧版本的主流支持，不会单独推送热补丁，只能通过累积更新修复。

判断设备是否受影响，核心不是系统版本，而是有没有启用RRAS相关功能。哪怕是Win11家庭版，只要手动开启了RRAS管理工具，连接恶意服务器就会触发CVE-2026-26111。

3.2 资产风险分级模型

不是所有带RRAS的设备风险都一样，我们可以按照暴露面和权限等级把资产分成四级，对应不同的处置优先级。

1. 极高风险：公网直接开放RRAS端口（TCP1723、UDP500/4500）的服务器。这类设备直接暴露在攻击者扫描范围内，随时可能被批量利用，必须第一时间处置。
2. 高风险：内网部署的RRAS服务器、运维人员的管理工作站。前者可能被内网攻击者横向利用，后者是社工攻击的核心目标，优先级仅次于公网暴露设备。
3. 中风险：普通员工电脑，系统自带RRAS组件但从未主动使用。这类设备不会主动触发漏洞，只有被诱导连接恶意服务器时才会中招，风险相对可控。
4. 低风险：完全不涉及RRAS功能的设备，比如没有网络管理权限的办公终端。这类设备基本没有触发漏洞的可能，正常打补丁即可。

3.3 内网RRAS资产批量清点方法

很多企业自己都不知道内网有多少台设备开了RRAS角色。批量清点有两种常用方法，一种是基于域环境的远程查询，一种是基于端口扫描的网络探测。

域环境下，可以通过PowerShell远程查询所有服务器的服务状态和角色安装情况，快速统计出所有启用了RRAS的设备。如果没有域环境，也可以用端口扫描工具扫内网的1723、500、4500端口，凡是开放这些端口的Windows设备，大概率启用了RRAS服务。

端口扫描只能发现服务端设备，发现不了只装了管理工具的运维终端。要完整清点，还是要结合终端管理系统，统计所有安装了RRAS管理组件的设备。

四、一键检测脚本：批量排查漏洞风险

下面提供四套可直接复制使用的PowerShell脚本，分别对应单主机状态检测、补丁校验、攻击痕迹排查和域环境批量检测，所有脚本默认以管理员权限运行。

4.1 单主机RRAS启用状态检测脚本

这个脚本会检测本机是否安装RRAS角色、RRAS服务是否运行、对应端口是否监听，输出清晰的风险判定结果。

<# RRAS漏洞风险单主机检测脚本 功能：检测RRAS角色安装状态、服务运行状态、端口监听状态 #># 检查管理员权限$isAdmin=([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]"Administrator")if(-not$isAdmin){Write-Error"请以管理员身份运行PowerShell"exit1}Write-Host"====== RRAS漏洞风险检测 ======"-ForegroundColor Cyan# 1. 检测RRAS角色安装状态$rrasFeature=Get-WindowsFeature-Name Routing-ErrorAction SilentlyContinue$featureInstalled=$rrasFeature.InstalledWrite-Host"`n1. RRAS角色安装状态："if($featureInstalled){Write-Host" 已安装路由和远程访问角色"-ForegroundColor Yellow}else{Write-Host" 未安装RRAS服务器角色"-ForegroundColor Green}# 2. 检测RRAS服务运行状态$rrasService=Get-Service-Name RemoteAccess-ErrorAction SilentlyContinue$serviceRunning=$falseif($rrasService){$serviceRunning=($rrasService.Status-eq"Running")}Write-Host"`n2. RRAS服务运行状态："if($serviceRunning){Write-Host" RemoteAccess服务正在运行"-ForegroundColor Yellow}else{Write-Host" RemoteAccess服务未运行"-ForegroundColor Green}# 3. 检测RRAS相关端口监听$ports= @(1723,500,4500)$listeningPorts= @()foreach($portin$ports){$listener=Get-NetTCPConnection-LocalPort$port-ErrorAction SilentlyContinueif($listener){$listeningPorts+=$port}}Write-Host"`n3. RRAS相关端口监听状态："if($listeningPorts.Count-gt0){Write-Host" 监听端口：$($listeningPorts-join', ')"-ForegroundColor Red}else{Write-Host" 未监听相关端口"-ForegroundColor Green}# 4. 风险判定Write-Host"`n4. 风险判定："if($featureInstalled-and$serviceRunning-and$listeningPorts.Count-gt0){Write-Host" 极高风险：RRAS服务运行且端口监听，若暴露公网可被远程利用"-ForegroundColor Red}elseif($featureInstalled-and$serviceRunning){Write-Host" 高风险：RRAS服务运行，内网环境存在横向利用风险"-ForegroundColor Yellow}elseif($featureInstalled){Write-Host" 中风险：已安装RRAS角色，服务未启动"-ForegroundColor Yellow}else{Write-Host" 低风险：未安装RRAS服务器角色"-ForegroundColor Green}Write-Host"`n====== 检测完成 ======"-ForegroundColor Cyan

4.2 补丁安装状态校验脚本

这个脚本会检测系统是否安装了包含漏洞修复的月度累积更新，以及是否安装了KB5084597热补丁。

<# RRAS漏洞补丁检测脚本 功能：检测3月累积更新及KB5084597热补丁安装状态 #>$isAdmin=([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]"Administrator")if(-not$isAdmin){Write-Error"请以管理员身份运行PowerShell"exit1}Write-Host"====== RRAS漏洞补丁状态检测 ======"-ForegroundColor Cyan# 获取已安装的更新列表$installedUpdates=Get-HotFix|Select-Object-ExpandProperty HotFixID# 热补丁KB编号$hotpatchKB="KB5084597"# 各系统对应修复累积更新KB（2026年3月补丁星期二）$cumulativeKBs= @("KB5084290",# Win11 25H2"KB5084283",# Win11 24H2 / Server 2025"KB5084287",# Win11 LTSC 2024"KB5084276",# Server 2022"KB5084271",# Server 2019"KB5084266"# Server 2016)Write-Host"`n1. 热补丁KB5084597状态："if($installedUpdates-contains$hotpatchKB){Write-Host" 已安装KB5084597热补丁"-ForegroundColor Green}else{Write-Host" 未安装KB5084597热补丁"-ForegroundColor Yellow}Write-Host"`n2. 月度累积修复补丁状态："$patched=$falseforeach($kbin$cumulativeKBs){if($installedUpdates-contains$kb){$patched=$trueWrite-Host" 已安装修复补丁：$kb"-ForegroundColor Greenbreak}}if(-not$patched){Write-Host" 未检测到2026年3月修复累积更新"-ForegroundColor RedWrite-Host" 请尽快安装当月Windows安全更新"-ForegroundColor Red}Write-Host"`n====== 检测完成 ======"-ForegroundColor Cyan

4.3 攻击痕迹日志检测脚本

这个脚本会扫描系统日志中RRAS服务的崩溃记录、异常错误事件，判断是否有漏洞利用尝试的痕迹。

<# RRAS漏洞攻击痕迹检测脚本 功能：扫描系统日志中RRAS相关的崩溃、异常事件 #>$isAdmin=([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]"Administrator")if(-not$isAdmin){Write-Error"请以管理员身份运行PowerShell"exit1}Write-Host"====== RRAS攻击痕迹检测 ======"-ForegroundColor Cyan# 检索近7天系统日志中RRAS相关的服务崩溃、错误事件$startTime=(Get-Date).AddDays(-7)$events=Get-WinEvent-FilterHashtable @{LogName ='System'ProviderName ='Service Control Manager'ID = 7031,7034,7026 StartTime =$startTime}-ErrorAction SilentlyContinue|Where-Object{$_.Message-match'RemoteAccess|RRAS|路由和远程访问'}Write-Host"`n近7天RRAS服务异常事件统计："if($events.Count-gt0){Write-Host" 检测到$($events.Count)条RRAS服务异常事件"-ForegroundColor RedWrite-Host" 事件详情："$events|ForEach-Object{Write-Host" - 时间：$($_.TimeCreated)事件ID：$($_.ID)"Write-Host" 描述：$($_.Message.Split("`n")[0])"}Write-Host"`n 提示：频繁的服务崩溃可能是漏洞利用尝试失败导致"-ForegroundColor Yellow}else{Write-Host" 未检测到RRAS服务异常崩溃事件"-ForegroundColor Green}# 检查安全日志中的异常登录事件$secEvents=Get-WinEvent-FilterHashtable @{LogName ='Security'ID = 4625 StartTime =$startTime}-ErrorAction SilentlyContinue|Where-Object{$_.Message-match'VPN|远程访问'}Write-Host"`n近7天VPN相关登录失败事件统计："if($secEvents.Count-gt0){Write-Host" 检测到$($secEvents.Count)条VPN登录失败事件"-ForegroundColor Yellow}else{Write-Host" 未检测到异常VPN登录失败事件"-ForegroundColor Green}Write-Host"`n====== 检测完成 ======"-ForegroundColor Cyan

4.4 域环境批量检测脚本

这个脚本适用于AD域环境，可以批量查询域内所有Windows服务器的RRAS状态，输出完整的资产清单。

<# 域环境RRAS资产批量检测脚本 依赖：ActiveDirectory模块，需在域控或安装了RSAT工具的设备上运行 #># 检查模块if(-not(Get-Module-Name ActiveDirectory-ListAvailable)){Write-Error"未安装ActiveDirectory模块，请先安装RSAT-AD-PowerShell功能"exit1}Import-ModuleActiveDirectory-ErrorAction StopWrite-Host"====== 域内RRAS资产批量检测 ======"-ForegroundColor Cyan# 获取域内所有Windows服务器$servers=Get-ADComputer-Filter{OperatingSystem-like"*Server*"}-Properties OperatingSystem,IPv4AddressWrite-Host"`n共检索到域内服务器$($servers.Count)台，开始检测..."$results= @()$count= 0foreach($serverin$servers){$count++$hostname=$server.Name$ip=$server.IPv4AddressWrite-Progress-Activity"正在检测"-Status"$count/$($servers.Count):$hostname"-PercentComplete($count/$servers.Count*100)$result=[PSCustomObject]@{主机名 =$hostnameIP地址 =$ip系统版本 =$server.OperatingSystem RRAS角色安装 ="检测失败"RRAS服务运行 ="检测失败"风险等级 ="未知"}# 远程查询服务状态try{$service=Get-Service-Name RemoteAccess-ComputerName$hostname-ErrorAction Stop$result.RRAS服务运行 =if($service.Status-eq"Running"){"是"}else{"否"}# 远程查询角色安装$feature=Invoke-Command-ComputerName$hostname-ScriptBlock{Get-WindowsFeature-Name Routing|Select-Object-ExpandProperty Installed}-ErrorAction Stop$result.RRAS角色安装 =if($feature){"是"}else{"否"}# 风险判定if($result.RRAS角色安装-eq"是"-and$result.RRAS服务运行-eq"是"){$result.风险等级 ="高风险"}elseif($result.RRAS角色安装-eq"是"){$result.风险等级 ="中风险"}else{$result.风险等级 ="低风险"}}catch{# 连接失败不中断，记录状态}$results+=$result}Write-Progress-Activity"正在检测"-CompletedWrite-Host"`n检测完成，结果如下："-ForegroundColor Cyan# 输出结果并导出CSV$results|Format-Table-AutoSize$exportPath=".\域内RRAS资产检测结果.csv"$results|Export-Csv-Path$exportPath-NoTypeInformation-Encoding UTF8Write-Host"`n结果已导出至：$exportPath"-ForegroundColor Green

五、分级防护配置清单

防护要按照优先级来，先堵最高危的口子，再做持久加固。下面的配置全部可以直接落地，按顺序执行即可。

5.1 最高优先级：补丁修复的正确姿势

补丁是最根本的修复方式，不同类型的设备要走不同的补丁渠道，不要盲目安装热补丁。

1. 公网暴露的RRAS服务器：立刻安装2026年3月月度累积更新，不要等热补丁。累积更新的修复更完整，没有兼容性问题，业务允许的话重启后最稳妥。
2. 内网RRAS服务器：同样优先安装月度累积更新。如果业务不能停机，再评估安装KB5084597热补丁，安装前先在测试环境验证蓝牙、账户登录、RRAS服务是否正常，避免生产环境出故障。
3. 运维管理终端：安装月度累积更新即可。不要单独安装热补丁，终端设备重启成本低，常规更新更稳定。
4. 热补丁通道的企业：暂时关闭RRAS热补丁的自动推送，等微软发布修订版KB后再恢复。已经安装了热补丁且出现兼容问题的设备，可以通过控制面板卸载KB5084597，回滚后安装常规累积更新。

5.2 临时缓解：端口封禁与服务降级

暂时打不了补丁的设备，先做临时缓解，把攻击面降到最低。

服务器侧的操作：

1. 公网防火墙直接封禁TCP 1723、UDP 500、UDP 4500端口的入站访问。如果必须对外提供VPN服务，只开放给指定的公网IP段，不要全端口放通。
2. 不需要RRAS功能的服务器，直接卸载路由和远程访问角色，彻底消除风险。卸载命令：

Uninstall-WindowsFeature-Name Routing-Restart:$false

3. 暂时保留RRAS服务的，先停止服务并设置为禁用，等打完补丁再恢复：

Stop-ServiceRemoteAccess-ForceSet-ServiceRemoteAccess-StartupType Disabled

客户端侧的操作：

1. 禁止运维人员使用RRAS管理控制台连接未知、不可信的远程服务器，尤其是外网的RRAS节点。
2. 非运维人员的终端，直接禁用RRAS管理工具，关闭触发入口。可以通过组策略禁用MMC管理单元中的路由和远程访问 snap-in。

5.3 运维侧防护：管理入口锁死策略

CVE-2026-26111针对的是运维管理端，这部分很多企业容易忽略。针对管理入口要做三层防护。

1. 第一层，管理网络隔离。RRAS服务器的管理端口只允许运维网段访问，禁止普通业务网段的设备连接RRAS管理接口。
2. 第二层，管理身份强验证。所有RRAS管理操作都通过堡垒机跳转，禁止直接用本地终端连接远程RRAS服务器，即使是内网也不行。
3. 第三层，管理工具白名单。只允许指定的运维终端安装RRAS管理工具，普通员工终端直接卸载管理组件，从根源上消除客户端漏洞的触发条件。

5.4 边界防护：流量侧拦截规则

在防火墙、IDS/IPS设备上配置针对性的拦截规则，可以在补丁安装之前挡住大部分批量扫描攻击。

针对CVE-2026-25172的流量特征，拦截规则可以设置为：

• 检测PPTP控制报文（TCP 1723端口）的Payload长度，超过64KB的直接丢弃。正常PPTP控制报文不会超过1KB，超大报文基本都是攻击载荷。
• 检测PPTP报文中的长度字段异常，比如长度字段值小于报文实际长度的，直接阻断连接。
• 开启IPS的RRAS漏洞攻击特征检测，现在主流厂商的IPS已经更新了这三个漏洞的攻击特征。

注意：流量拦截只能缓解，不能彻底防御。攻击者可以拆分数据包、构造符合长度限制的畸形报文绕过检测，最终还是要靠补丁修复。

5.5 持久加固：RRAS服务最小权限配置

打完补丁之后，要做持久化加固，降低未来再出同类漏洞的危害。

1. 第一，最小化角色安装。RRAS不需要的功能全部关掉，比如只用来做VPN就不要开路由功能，只做NAT就不要开拨号接入。功能开得越少，攻击面越小。
2. 第二，降权运行。默认RRAS以SYSTEM权限运行，可以通过服务配置把RRAS服务的运行账号改成低权限的服务账号，即使被攻破，攻击者也拿不到最高权限。不过改权限可能影响部分功能，要先在测试环境验证。
3. 第三，增强日志审计。开启RRAS的详细日志记录，把所有连接请求、管理操作都记录下来，对接SIEM系统做异常检测。比如短时间内大量来自同一IP的连接请求、异常的报文大小，都可以设置告警。
4. 第四，定期漏洞扫描。每月补丁更新后，用漏洞扫描器扫一遍所有RRAS资产，确认补丁都安装到位，没有遗漏。

六、应急响应与攻击处置流程

如果漏洞已经公开，且有批量利用趋势，企业要按照标准应急流程处置，不要等出事了再手忙脚乱。

6.1 漏洞预警后的72小时处置Timeline

1. 0-4小时：确认影响范围。用上面的检测脚本清点所有RRAS资产，统计公网暴露数量、内网服务器数量、运维终端数量，按照风险等级排序。同时确认现有补丁覆盖情况，哪些设备已经打了补丁，哪些还没打。
2. 4-24小时：高危资产加固。先给所有公网暴露的RRAS服务器打补丁，打不了的先封端口、停服务。同时给所有运维终端推送补丁，封禁RRAS管理端口的外网访问。同步在边界设备上更新IPS规则，拦截攻击流量。
3. 24-48小时：全量补丁部署。分批给内网所有RRAS资产安装补丁，业务系统安排变更窗口，错峰重启。同时开展全员安全提醒，告知不要点击陌生的RRAS连接地址，防范社工攻击。
4. 48-72小时：验证与复盘。扫描所有资产的补丁安装状态，确认修复率100%。复盘整个处置过程，统计资产清点耗时、补丁部署耗时，优化下次漏洞应急的流程。

6.2 疑似攻击后的排查步骤

如果发现RRAS服务器异常崩溃、或者告警显示有漏洞利用尝试，立刻启动排查。

1. 第一步，网络侧排查。查防火墙日志，看有没有来自陌生IP的大量PPTP连接请求，有没有超大报文的流量记录。把可疑IP加入黑名单，先阻断攻击源
2. 第二步，主机侧排查。查RRAS服务的崩溃日志，看崩溃频率和时间点。查系统进程，有没有陌生的异常进程、可疑的计划任务。查用户账户，有没有新增的管理员账号。
3. 第三步，内存与文件排查。抓取RRAS进程的内存dump，分析有没有Shellcode注入痕迹。查系统临时目录、回收站，有没有可疑的恶意文件。查最近的文件修改记录，看系统文件有没有被篡改。
4. 第四步，横向渗透排查。如果服务器已经失陷，立刻查这台服务器的对内连接记录，看攻击者有没有用它做跳板访问其他内网设备，有没有横向移动的痕迹。

6.3 失陷主机的处置规范

确认主机已经被攻击者控制，按照以下流程处置，不要直接重启，避免丢失证据。

1. 网络隔离。先把失陷主机从内网断开，拔掉网线或者在交换机端口禁用，防止攻击者继续横向渗透。注意不要立刻关机，内存里的攻击痕迹关机就没了。
2. 现场取证。先抓取内存镜像，再导出系统日志、安全日志、RRAS日志，最后拷贝可疑文件。所有取证操作都要写记录，保留证据链。
3. 恶意清除。如果要保留系统，先结束恶意进程，删除恶意文件、后门账号、计划任务，再修复被篡改的系统文件。但更推荐直接重装系统，彻底清除所有后门。
4. 补丁加固。系统恢复后，立刻安装所有安全补丁，按照前面的加固清单做安全配置，确认没有风险后再接入内网。
5. 溯源分析。事后分析攻击入口、攻击者停留时间、窃取了哪些数据、有没有扩散到其他设备，输出完整的应急报告。

七、行业延伸：企业远程接入安全的长期解法

这次RRAS三连漏洞不是孤立事件。最近几年Windows的远程接入组件频繁爆出高危漏洞，从RDP到RRAS，再到RPC远程管理，传统的边界信任模式已经越来越难扛住攻击。企业要从架构层面调整远程访问的安全思路。

7.1 RRAS之外的VPN替代方案

对于还在用Windows RRAS当主力VPN的企业，可以考虑更安全的替代方案，降低对系统原生组件的依赖。

1. 第一种，专用硬件VPN网关。比如深信服、奇安信、华为的硬件VPN设备，有专门的安全团队维护，漏洞响应比系统组件快，而且硬件级的隔离性更好，即使VPN组件出漏洞，也不会直接影响整个服务器系统。
2. 第二种，开源VPN方案。比如WireGuard、OpenVPN，代码开源，社区审计充分，漏洞发现快，而且配置灵活，可以部署在Linux服务器上，避开Windows组件的风险。
3. 第三种，零信任访问方案。这是现在的主流趋势，不用传统的VPN隧道，而是基于身份的应用层访问控制。用户不需要接入整个内网，只能访问自己权限内的应用，即使账号泄露，攻击者也碰不到核心服务器。

7.2 远程访问安全架构演进方向

未来的远程访问架构，会从“网络层准入”转向“应用层准入”，从“信任边界内的所有设备”转向“永不信任，始终验证”。

具体落地有三个方向：

1. 第一，身份优先。所有远程访问都先做强身份验证，多因素认证是标配，还要结合设备指纹、登录环境、行为特征做动态风险判定。异常登录直接拦截，哪怕账号密码正确也不行。
2. 第二，最小权限。远程用户只能访问指定的应用和端口，不能直接连通整个内网。比如运维人员只能连指定服务器的远程桌面，开发人员只能连代码仓库，权限颗粒度越细越好。
3. 第三，持续校验。不是登录时验证一次就完事，访问过程中持续检测行为异常。比如用户平时只传小文件，突然开始批量下载大量数据，立刻触发二次验证或者中断会话。

7.3 热补丁时代的补丁管理策略

这次热补丁翻车事件也给企业提了个醒：热补丁不是万能的，它能免重启，但也会带来兼容性风险。企业的补丁管理策略要适配热补丁机制。

1. 首先，分级补丁渠道。核心业务服务器用热补丁，优先保证业务连续性；非核心设备和终端用常规累积更新，保证修复稳定性。不要所有设备都开热补丁。
2. 其次，补丁灰度发布。不管是热补丁还是常规补丁，都先在测试环境部署，验证24小时没问题，再推给小部分生产设备，最后全量推送。不要一上来就全量更新，一出问题就是大面积故障。
3. 最后，补丁回滚预案。所有补丁部署前都要准备好回滚方案，热补丁要能快速卸载，常规更新要有系统备份。一旦出现兼容故障，能在最短时间内恢复业务。

这次RRAS三连漏洞暴露了很多企业对基础网络组件的安全盲区，很多设备开了RRAS自己都不知道，出事了才清点资产。

两个问题留给大家讨论：

1. 你们公司的远程接入用的是RRAS还是专用VPN设备？有没有遇到过这类系统组件漏洞的冲击？
2. 针对热补丁的兼容性风险，你们有什么成熟的管控经验？
   欢迎在评论区分享你的看法和处置经验。