Menjadi diketahui tentang kerentanan kritis RCE dalam RDS Remote Desktop Services (pada sistem operasi sebelumnya - TS Terminal Services) di OS Windows (CVE-2019-0708), yang, jika berhasil digunakan, memungkinkan penyerang tidak terauthentikasi untuk melakukan eksekusi dari jarak jauh secara sewenang-wenang. kode pada sistem yang sedang diserang.
Menurut informasi yang diberikan oleh Microsoft, untuk operasi yang sukses, hanya perlu memiliki akses jaringan ke host atau server dengan versi sistem operasi Windows yang rentan. Dengan demikian, jika layanan sistem diterbitkan pada perimeter, kerentanan dapat dieksploitasi langsung dari Internet, tanpa metode pengiriman tambahan. Rekomendasi untuk tindakan perlindungan di bawah luka.
Saat ini, kerentanan tersebut relevan untuk beberapa lusin organisasi di Rusia dan lebih dari 2 juta organisasi di dunia, dan potensi kerusakan akibat keterlambatan respons cepat dan tindakan perlindungan akan sebanding dengan kerusakan yang disebabkan oleh kerentanan yang disebabkan oleh kerentanan dalam protokol SMB CVE-2017-0144 (EternalBlue).
Untuk mengeksploitasi kerentanan ini, penyerang hanya perlu mengirim permintaan yang dibuat khusus ke layanan desktop jarak jauh dari sistem target menggunakan RDP (protokol RDP itu sendiri
tidak rentan ).
Penting untuk dicatat bahwa malware apa pun yang menggunakan kerentanan ini dapat menyebar dari satu komputer yang rentan ke komputer lain, mirip dengan penyebaran ransomware WannaCry di seluruh dunia pada tahun 2017.
Versi OS Windows yang Terkena Dampak:
Paket Layanan Sistem Windows 7 untuk 32-bit 1
Windows 7 untuk Paket Layanan Sistem berbasis x64 1
Windows Server 2008 untuk Paket Layanan Sistem 32-bit 2
Windows Server 2008 untuk Sistem 32-bit Paket Layanan 2 (instalasi Server Core)
Windows Server 2008 untuk Paket Layanan Sistem Berbasis Itanium 2
Windows Server 2008 untuk Paket Layanan Sistem 2 berbasis x64
Windows Server 2008 untuk Paket Layanan Sistem 2 berbasis x64 (instalasi Server Core)
Windows Server 2008 R2 untuk Paket Layanan Sistem Berbasis Itanium 1
Windows Server 2008 R2 untuk Paket Layanan Sistem 1 berbasis x64
Windows Server 2008 R2 untuk Systems Service Pack 1 berbasis x64 (instalasi Server Core
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
Disarankan segera:
- Dalam hal layanan RDP yang sebelumnya diterbitkan pada perimeter eksternal untuk OS yang rentan, tutup akses ini sampai kerentanan diperbaiki.
- Instal pembaruan OS Windows yang diperlukan, mulai dari node pada perimeter dan selanjutnya untuk seluruh infrastruktur: patch untuk Windows 7, Windows 2008 , Windows XP, Windows 2003 .
Kemungkinan langkah-langkah kompensasi tambahan:
- Aktifkan Otentikasi Tingkat Jaringan (NLA). Namun, sistem yang rentan masih akan tetap rentan untuk menggunakan Remote Code Execution (RCE) jika penyerang memiliki kredensial yang valid yang dapat digunakan untuk otentikasi yang berhasil.
- Matikan protokol RDP sebelum memperbarui dan gunakan metode alternatif untuk mengakses sumber daya.