Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6812-й день

Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua

 Удаленное выполнение произвольного кода в протоколе RDP, CVE-2019-0708

Console
May 14 2019, 22:10
  
Пост #1



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «


Open in new window

Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов (ранее они назывались службами терминалов), когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить произвольный код в целевой системе

Интересным является тот факт, что эту или схожую уязвимость продавали в «даркнете» как минимум с августа прошлого года

Уязвимость настолько серьёзная, что Microsoft выпустила патчи даже для неподдерживаемых версий ОС — Windows XP и Windows 2003
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
 
Reply to this topicStart new topic
Ответов(1 - 4)
Koka-ftp
May 14 2019, 23:52
  
Пост #2



Репутация:   909  
Старожил
****

Группа: Пользователи
Сообщений: 3 278
С нами с: 10-April 08


» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
May 15 2019, 6:58
  
Пост #3



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

https://portal.msrc.microsoft.com/en-US/sec...y/CVE-2019-0708

Если я понял правильно, то только на эти платформмы подвержены..
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
jerr
May 15 2019, 7:44
  
Пост #4



Репутация:   223  
Cтаршой
**

Группа: Пользователи
Сообщений: 693
С нами с: 20-June 08


Уязвимость настолько серьёзная, что Microsoft выпустила патчи даже для неподдерживаемых версий ОС — Windows XP и Windows 2003.


вот патчи на 2003 и xp
https://support.microsoft.com/ru-ru/help/45...r-cve-2019-0708
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Aug 13 2019, 23:46
  
Пост #5



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


А вот и второй сезон...
_https://habr.com/ru/company/solarsecurity/blog/463591/

Опубликованные RCE-уязвимости в Службах Удаленных рабочих столов RDS в ОС Windows (CVE-2019-1181/1182) при успешной эксплуатации позволяют злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение кода на атакуемой системе.

Для эксплуатации уязвимостей злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).

Важно отметить, что любое вредоносное ПО, использующее эту уязвимость, потенциально может распространяться с одного уязвимого компьютера на другой аналогично распространению вредоносного ПО WannaCry по всему миру в 2017 году. Для успешной эксплуатации необходимо лишь иметь соответствующий сетевой доступ к хосту или серверу с уязвимой версией операционной системы Windows, в том числе, если системная служба опубликована на периметре.
Список зоны риска:
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «


Рекомендации:

Установить необходимые обновления для уязвимых ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры, согласно принятым в компании процедурам управления уязвимостями:
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
При наличии опубликованного сервиса RDP на внешнем периметре для уязвимой ОС – рассмотреть ограничение (закрытие) доступа до устранения уязвимостей.

На текущий момент нет информации о наличии PoC/эксплоита/эксплуатации данных уязвимостей, однако медлить с патчами не рекомендуем, часто их появление — вопрос нескольких суток.

Возможные дополнительные компенсирующие меры:

Включение проверки подлинности на уровне сети (NLA). Однако уязвимые системы по-прежнему останутся уязвимыми для удаленного выполнения кода (RCE), если у злоумышленника есть действительные учетные данные, которые можно использовать для успешной аутентификации.
Временное выключение протокола RDP для уязвимых версий ОС до момента установки обновлений, использование альтернативных способов удаленного доступа к ресурсам.

Сообщение отредактировал Console - Aug 13 2019, 23:46
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Reply to this topicStart new topic

 



- Упрощённая версия
Сейчас: 7th November 2024 - 21:41
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст.