Tornou-se conhecido a vulnerabilidade crítica do RCE nos Serviços de Área de Trabalho Remota do RDS (em sistemas operacionais anteriores - TS Terminal Services) no sistema operacional Windows (CVE-2019-0708), que, se usado com êxito, permite que um invasor não autenticado execute remotamente arbitrariamente código no sistema sob ataque.
De acordo com as informações fornecidas pela Microsoft, para uma operação bem-sucedida, é necessário apenas o acesso à rede de um host ou servidor com uma versão vulnerável do sistema operacional Windows. Portanto, se o serviço do sistema for publicado no perímetro, a vulnerabilidade poderá ser explorada diretamente da Internet, sem um método de entrega adicional. Recomendações para medidas de proteção sob o corte.
No momento, a vulnerabilidade é relevante para várias dezenas de organizações na Rússia e mais de 2 milhões de organizações no mundo, e os possíveis danos causados pelo atraso na resposta imediata e medidas de proteção serão comparáveis aos danos causados pela vulnerabilidade no protocolo SMB CVE-2017-0144 (EternalBlue).
Para explorar essa vulnerabilidade, o invasor precisa enviar uma solicitação especialmente criada para o serviço de área de trabalho remota dos sistemas de destino usando o RDP (o próprio protocolo RDP
não é
vulnerável ).
É importante observar que qualquer malware que use essa vulnerabilidade pode se espalhar de um computador vulnerável para outro, semelhante ao ransomware WannaCry espalhado pelo mundo em 2017.
Versões afetadas do sistema operacional Windows:
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas Service Pack 1 baseados em x64
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)
Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
Windows Server 2008 para sistemas Service Pack 2 baseados em x64
Windows Server 2008 para sistemas Service Pack 2 baseados em x64 (instalação Server Core)
Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1
Windows Server 2008 R2 para sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 para sistemas Service Pack 1 baseados em x64 (instalação Server Core
Windows XP SP3 x86
Windows XP Professional x64 Edição SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
Recomendado imediatamente:
- No caso do serviço RDP publicado anteriormente no perímetro externo do SO vulnerável, feche esse acesso até que a vulnerabilidade seja corrigida.
- Instale as atualizações necessárias do sistema operacional Windows, começando nos nós no perímetro e depois para toda a infraestrutura: patch para Windows 7, Windows 2008 , Windows XP, Windows 2003 .
Possíveis medidas compensatórias adicionais:
- Habilite a autenticação no nível da rede (NLA). No entanto, os sistemas vulneráveis ainda permanecerão vulneráveis ao uso da execução remota de código (RCE) se o invasor tiver credenciais válidas que possam ser usadas para autenticação bem-sucedida.
- Desative o protocolo RDP antes de atualizar e use métodos alternativos para acessar recursos.