Se supo de una vulnerabilidad peligrosa en el protocolo RDP: Microsoft ha preparado
un parche de emergencia para la vulnerabilidad con el identificador CVE-2019-0708, que permite ejecutar código arbitrario en el sistema de destino.
Existe una vulnerabilidad de ejecución remota de código en los Servicios de Escritorio remoto (anteriormente llamados Servicios de Terminal Server) cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía solicitudes especialmente diseñadas. Esta vulnerabilidad utiliza autenticación previa y no requiere la interacción del usuario. Un atacante que explotara con éxito esta vulnerabilidad podría ejecutar código arbitrario en el sistema de destino.
La vulnerabilidad (CVE-2019-0708) reside en el componente de "servicios de escritorio remoto" integrado en las versiones compatibles de Windows, incluidos Windows 7, Windows Server 2008 R2 y Windows Server 2008. También está presente en equipos con Windows XP y Windows 2003, sistemas operativos para los cuales Microsoft dejó de enviar actualizaciones de seguridad hace mucho tiempo.
Para aprovechar la vulnerabilidad, un atacante debe enviar una solicitud especialmente diseñada al servicio de escritorio remoto de los sistemas de destino a través de RDP.
Un hecho interesante es que esta o una vulnerabilidad similar se ha vendido en la red oscura desde al menos septiembre del año pasado:
VENDEDOR, [30.09.18 12:54]
RDP RCE Exploit
descripción:
Este es un error en el protocolo RDP.
Eso significa que puede explotar cualquier Windows de forma remota que habilite RDP.
tipo de vulnerabilidad:
Desbordamiento de montón
versiones afectadas:
Windows 2000 / XP / 2003 / Vista / 7/2008 (R2)
Nivel de privilegio obtenido:
Privilegio del SISTEMA
fiabilidad:
90% para un núcleo / 30% para núcleo múltiple
longitud de explotación:
alrededor de 10 segundos
Posible comprador, [30.09.18 12:58]
versiones afectadas:
Windows 2000 / XP / 2003 / Vista / 7/2008 (R2)
Jajaja
Posible comprador, [30.09.18 12:58]
¿Es pre-auth o post-auth vuln?
VENDEDOR, [30.09.18 12:59]
Pre
Posible comprador, [30.09.18 12:59]
por cuanto lo venden?
VENDEDOR, [30.09.18 12:59]
500
VENDEDOR, [30.09.18 12:59]
Compartido
Posible comprador, [30.09.18 12:59]
500k USD?
VENDEDOR, [30.09.18 13:00]
Así que puedes adivinar que se vendió pocas veces
VENDEDOR, [30.09.18 13:00]
Si
La explotación de esta vulnerabilidad hace posible escribir malware similar a WannaCry, descubierto hace
exactamente 2 años .
Esta vulnerabilidad es la autenticación previa y no requiere interacción del usuario. En otras palabras, la vulnerabilidad es 'wormable', lo que significa que cualquier malware futuro que explote esta vulnerabilidad podría propagarse de una computadora vulnerable a otra de manera similar a como el malware WannaCry se extendió por todo el mundo en 2017.
La vulnerabilidad es tan grave que Microsoft ha lanzado parches incluso para versiones no compatibles del sistema operativo: Windows XP y Windows 2003.