Il est devenu connu de la vulnérabilité critique de RCE dans les services de bureau à distance RDS (sur les systèmes d'exploitation antérieurs - Services Terminal Server TS) dans le système d'exploitation Windows (CVE-2019-0708), qui, si elle est utilisée avec succès, permet à un attaquant non authentifié d'exécuter à distance arbitraire code sur le système attaqué.
Selon les informations fournies par Microsoft, pour un fonctionnement réussi, il est uniquement nécessaire d'avoir un accès réseau à un hôte ou un serveur avec une version vulnérable du système d'exploitation Windows. Ainsi, si le service système est publié sur le périmètre, la vulnérabilité peut être exploitée directement à partir d'Internet, sans méthode de livraison supplémentaire. Recommandations de mesures de protection sous la coupe.
À l'heure actuelle, la vulnérabilité concerne plusieurs dizaines d'organisations en Russie et plus de 2 millions d'organisations dans le monde, et les dommages potentiels dus au retard dans la réponse rapide et les mesures de protection seront comparables aux dommages causés par la vulnérabilité dans le protocole SMB CVE-2017-0144 (EternalBlue).
Pour exploiter cette vulnérabilité, un attaquant doit simplement envoyer une demande spécialement conçue au service de bureau à distance des systèmes cibles à l'aide de RDP (le protocole RDP lui-même n'est
pas vulnérable ).
Il est important de noter que tout logiciel malveillant qui utilise cette vulnérabilité peut se propager d'un ordinateur vulnérable à un autre, similaire au ransomware WannaCry répandu dans le monde en 2017.
Versions du système d'exploitation Windows concernées:
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
Windows Server 2008 pour systèmes Itanium Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core
Windows XP SP3 x86
Windows XP Professionnel Édition x64 SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 Édition x64 SP2
Recommandé rapidement:
- Dans le cas du service RDP précédemment publié sur le périmètre externe pour le système d'exploitation vulnérable, fermez cet accès jusqu'à ce que la vulnérabilité soit corrigée.
- Installez les mises à jour du système d'exploitation Windows nécessaires, à partir des nœuds sur le périmètre et plus loin pour l'ensemble de l'infrastructure: correctif pour Windows 7, Windows 2008 , Windows XP, Windows 2003 .
Mesures compensatoires supplémentaires éventuelles:
- Activez l'authentification au niveau du réseau (NLA). Cependant, les systèmes vulnérables resteront vulnérables à l'utilisation de l'exécution de code à distance (RCE) si l'attaquant dispose d'informations d'identification valides qui peuvent être utilisées pour une authentification réussie.
- Désactivez le protocole RDP avant de mettre à jour et utilisez d'autres méthodes d'accès aux ressources.