Es wurde bekannt, dass RDS Remotedesktopdienste (unter früheren Betriebssystemen - TS Terminal Services) unter Windows (CVE-2019-0708) eine kritische RCE-Sicherheitsanfälligkeit aufweisen, die es einem nicht authentifizierten Angreifer bei erfolgreicher Verwendung ermöglicht, beliebig remote auszuführen Code auf dem angegriffenen System.
Nach Angaben von Microsoft ist für einen erfolgreichen Betrieb nur ein Netzwerkzugriff auf einen Host oder Server mit einer anfälligen Version des Windows-Betriebssystems erforderlich. Wenn der Systemdienst auf dem Perimeter veröffentlicht wird, kann die Sicherheitsanfälligkeit ohne zusätzliche Übermittlungsmethode direkt aus dem Internet ausgenutzt werden. Empfehlungen für Schutzmaßnahmen unter dem Schnitt.
Derzeit ist die Sicherheitsanfälligkeit für mehrere Dutzend Organisationen in Russland und mehr als 2 Millionen Organisationen weltweit relevant. Der potenzielle Schaden durch eine Verzögerung der sofortigen Reaktion und Schutzmaßnahmen wird mit dem durch die Sicherheitsanfälligkeit im Protokoll SMB CVE-2017-0144 (EternalBlue) verursachten Schaden vergleichbar sein.
Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer lediglich eine speziell gestaltete Anforderung mithilfe von RDP an den Remotedesktopdienst der Zielsysteme senden (das RDP-Protokoll selbst ist
nicht anfällig ).
Es ist wichtig zu beachten, dass sich jede Malware, die diese Sicherheitsanfälligkeit verwendet, von einem anfälligen Computer auf einen anderen ausbreiten kann, ähnlich wie die 2017 weltweit verbreitete WannaCry-Ransomware.
Betroffene Windows-Betriebssystemversionen:
Windows 7 für 32-Bit-Systeme Service Pack 1
Windows 7 für x64-basiertes Systems Service Pack 1
Windows Server 2008 für 32-Bit-Systems Service Pack 2
Windows Server 2008 für 32-Bit-Systems Service Pack 2 (Server Core-Installation)
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Windows Server 2008 für x64-basiertes Systems Service Pack 2
Windows Server 2008 für x64-basiertes Systems Service Pack 2 (Server Core-Installation)
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
Windows Server 2008 R2 für x64-basiertes Systems Service Pack 1
Windows Server 2008 R2 für x64-basiertes Systems Service Pack 1 (Server Core-Installation
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
Sofort empfohlen:
- Schließen Sie im Fall des zuvor veröffentlichten RDP-Dienstes auf dem externen Perimeter für das anfällige Betriebssystem diesen Zugriff, bis die Sicherheitsanfälligkeit behoben ist.
- Installieren Sie die erforderlichen Windows-Betriebssystemupdates, beginnend an den Knoten im Umkreis und weiter für die gesamte Infrastruktur: Patch für Windows 7, Windows 2008 , Windows XP, Windows 2003 .
Mögliche zusätzliche Ausgleichsmaßnahmen:
- Aktivieren Sie die Authentifizierung auf Netzwerkebene (NLA). Anfällige Systeme sind jedoch weiterhin anfällig für die Verwendung von Remote Code Execution (RCE), wenn der Angreifer über gültige Anmeldeinformationen verfügt, die für eine erfolgreiche Authentifizierung verwendet werden können.
- Deaktivieren Sie das RDP-Protokoll, bevor Sie es aktualisieren, und verwenden Sie alternative Methoden für den Zugriff auf Ressourcen.