Se supo acerca de la vulnerabilidad crítica de RCE en los Servicios de escritorio remoto de RDS (en sistemas operativos anteriores: Servicios de terminal de TS) en el sistema operativo Windows (CVE-2019-0708), que, si se usa con éxito, permite que un atacante no autenticado ejecute de forma remota arbitraria código en el sistema bajo ataque.
Según la información proporcionada por Microsoft, para una operación exitosa solo es necesario tener acceso a la red a un host o servidor con una versión vulnerable del sistema operativo Windows. Por lo tanto, si el servicio del sistema se publica en el perímetro, la vulnerabilidad puede explotarse directamente desde Internet, sin un método de entrega adicional. Recomendaciones para medidas de protección bajo el corte.
Por el momento, la vulnerabilidad es relevante para varias docenas de organizaciones en Rusia y más de 2 millones de organizaciones en el mundo, y el daño potencial de un retraso en la respuesta rápida y las medidas de protección será comparable al daño causado por la vulnerabilidad en el protocolo SMB CVE-2017-0144 (EternalBlue).
Para aprovechar esta vulnerabilidad, un atacante solo necesita enviar una solicitud especialmente diseñada al servicio de escritorio remoto de los sistemas de destino utilizando RDP (el protocolo RDP en sí
no es
vulnerable ).
Es importante tener en cuenta que cualquier malware que use esta vulnerabilidad puede propagarse de una computadora vulnerable a otra, de forma similar al ransomware WannaCry que se extendió por todo el mundo en 2017.
Versiones afectadas del sistema operativo Windows:
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas x64 Service Pack 1
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core)
Windows Server 2008 para Itanium-Based Systems Service Pack 2
Windows Server 2008 para sistemas x64 Service Pack 2
Windows Server 2008 para sistemas x64 Service Pack 2 (instalación Server Core)
Windows Server 2008 R2 para sistemas con Itanium Service Pack 1
Windows Server 2008 R2 para sistemas x64 Service Pack 1
Windows Server 2008 R2 para sistemas x64 Service Pack 1 (instalación Server Core
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
Recomendado puntualmente:
- En el caso del servicio RDP publicado anteriormente en el perímetro externo para el sistema operativo vulnerable, cierre este acceso hasta que se solucione la vulnerabilidad.
- Instale las actualizaciones necesarias del sistema operativo Windows, comenzando desde los nodos en el perímetro y más allá de toda la infraestructura: parche para Windows 7, Windows 2008 , Windows XP, Windows 2003 .
Posibles medidas compensatorias adicionales:
- Habilite la autenticación de nivel de red (NLA). Sin embargo, los sistemas vulnerables seguirán siendo vulnerables al uso de la Ejecución remota de código (RCE) si el atacante tiene credenciales válidas que se pueden usar para una autenticación exitosa.
- Apague el protocolo RDP antes de actualizar y use métodos alternativos de acceso a los recursos.