Tornou-se conhecido sobre uma vulnerabilidade perigosa no protocolo RDP: A Microsoft preparou
um patch de emergência para a vulnerabilidade com o identificador CVE-2019-0708, que permite a execução de código arbitrário no sistema de destino.
Existe uma vulnerabilidade de execução remota de código nos Serviços de Área de Trabalho Remota (anteriormente chamados de Serviços de Terminal) quando um invasor não autenticado se conecta ao sistema de destino usando o RDP e envia solicitações especialmente criadas. Esta vulnerabilidade usa pré-autenticação e não requer interação do usuário. Um invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no sistema de destino.
A vulnerabilidade (CVE-2019-0708) reside no componente "serviços de área de trabalho remota" embutido nas versões suportadas do Windows, incluindo Windows 7, Windows Server 2008 R2 e Windows Server 2008. Também está presente em computadores equipados com Windows XP e Windows 2003, sistemas operacionais para os quais a Microsoft há muito tempo parou de enviar atualizações de segurança.
Para explorar a vulnerabilidade, um invasor deve enviar uma solicitação especialmente criada para o serviço de área de trabalho remota dos sistemas de destino via RDP.
Um fato interessante é que essa ou uma vulnerabilidade semelhante foi vendida na darknet desde pelo menos setembro do ano passado:
VENDEDOR, [30.09.18 12:54]
RDP RCE Exploit
descrição:
Este é um erro no protocolo RDP.
Isso significa que você pode explorar remotamente qualquer Windows que habilite o RDP.
tipo de vulnerabilidade:
Estouro de pilha
versões afetadas:
Windows 2000 / XP / 2003 / Vista / 7/2008 (R2)
nível de privilégio obtido:
Privilégio do sistema
confiabilidade:
90% para um núcleo / 30% para múltiplos núcleos
comprimento de exploração:
cerca de 10 segundos
Possível comprador, [30.09.18 12:58]
versões afetadas:
Windows 2000 / XP / 2003 / Vista / 7/2008 (R2)
Lol
Possível comprador, [30.09.18 12:58]
é vuln de pré-autenticação ou pós-autenticação?
VENDEDOR, [30.09.18 12:59]
Pré
Possível comprador, [30.09.18 12:59]
por quanto eles vendem?
VENDEDOR, [30.09.18 12:59]
500
VENDEDOR, [30.09.18 12:59]
Partilhado
Possível comprador, [30.09.18 12:59]
500k USD?
VENDEDOR, [30.09.18 13:00]
Então você pode adivinhar que foi vendido algumas vezes
VENDEDOR, [30.09.18 13:00]
Sim
A exploração dessa vulnerabilidade possibilita a criação de malware semelhante ao WannaCry, descoberto
exatamente 2 anos atrás .
Essa vulnerabilidade é pré-autenticação e não requer interação do usuário. Em outras palavras, a vulnerabilidade é 'wormable', o que significa que qualquer malware futuro que explora essa vulnerabilidade pode se propagar de um computador vulnerável para outro, de maneira semelhante à do malware WannaCry, que se espalhou pelo mundo em 2017.
A vulnerabilidade é tão grave que a Microsoft lançou patches mesmo para versões não suportadas do sistema operacional - Windows XP e Windows 2003.