Удаленное выполнение произвольного кода в протоколе RDP, CVE-2019-0708 Опции

[Console]

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://habr.com/ru/company/jetinfosystems/blog/451852/

Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов (ранее они назывались службами терминалов), когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить произвольный код в целевой системе

Интересным является тот факт, что эту или схожую уязвимость продавали в «даркнете» как минимум с августа прошлого года

Уязвимость настолько серьёзная, что Microsoft выпустила патчи даже для неподдерживаемых версий ОС — Windows XP и Windows 2003

[Koka-ftp]

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Ну нахер....

[Console]

Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

https://portal.msrc.microsoft.com/en-US/sec...y/CVE-2019-0708

Если я понял правильно, то только на эти платформмы подвержены..

[jerr]

Уязвимость настолько серьёзная, что Microsoft выпустила патчи даже для неподдерживаемых версий ОС — Windows XP и Windows 2003.

вот патчи на 2003 и xp
https://support.microsoft.com/ru-ru/help/45...r-cve-2019-0708

[Console]

А вот и второй сезон...
_https://habr.com/ru/company/solarsecurity/blog/463591/

Опубликованные RCE-уязвимости в Службах Удаленных рабочих столов RDS в ОС Windows (CVE-2019-1181/1182) при успешной эксплуатации позволяют злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение кода на атакуемой системе.

Для эксплуатации уязвимостей злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).

Важно отметить, что любое вредоносное ПО, использующее эту уязвимость, потенциально может распространяться с одного уязвимого компьютера на другой аналогично распространению вредоносного ПО WannaCry по всему миру в 2017 году. Для успешной эксплуатации необходимо лишь иметь соответствующий сетевой доступ к хосту или серверу с уязвимой версией операционной системы Windows, в том числе, если системная служба опубликована на периметре.
Список зоны риска:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Версии ОС Windows, подверженные уязвимости:

Windows 10 for 32-bit/x64-based
Windows 10 Version 1607 for 32-bit/x64-based Systems
Windows 10 Version 1703 for 32-bit/x64-based Systems
Windows 10 Version 1709 for 32-bit/x64-based Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1803 for 32-bit/x64-based Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1809 for 32-bit/x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1903 for 32-bit/x64-based Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 7 for 32-bit/x64-based Systems Service Pack 1
Windows 8.1 for 32-bit/x64-based systems
Windows RT 8.1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019

Рекомендации:

Установить необходимые обновления для уязвимых ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры, согласно принятым в компании процедурам управления уязвимостями:
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
При наличии опубликованного сервиса RDP на внешнем периметре для уязвимой ОС – рассмотреть ограничение (закрытие) доступа до устранения уязвимостей.

На текущий момент нет информации о наличии PoC/эксплоита/эксплуатации данных уязвимостей, однако медлить с патчами не рекомендуем, часто их появление — вопрос нескольких суток.

Возможные дополнительные компенсирующие меры:

Включение проверки подлинности на уровне сети (NLA). Однако уязвимые системы по-прежнему останутся уязвимыми для удаленного выполнения кода (RCE), если у злоумышленника есть действительные учетные данные, которые можно использовать для успешной аутентификации.
Временное выключение протокола RDP для уязвимых версий ОС до момента установки обновлений, использование альтернативных способов удаленного доступа к ресурсам.

Сообщение отредактировал Console - Aug 13 2019, 23:46