Стало известно об опасной уязвимости в протоколе RDP: корпорация Microsoft подготовила экстренный патч для уязвимости с идентификатором CVE-2019-0708, позволяющей выполнить произвольный код на целевой системе.
Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов (ранее они назывались службами терминалов), когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить произвольный код в целевой системе.
The vulnerability (CVE-2019-0708) resides in the “remote desktop services” component built into supported versions of Windows, including Windows 7, Windows Server 2008 R2, and Windows Server 2008. It also is present in computers powered by Windows XP and Windows 2003, operating systems for which Microsoft long ago stopped shipping security updates.
Чтобы воспользоваться уязвимостью, злоумышленнику необходимо отправить специально созданный запрос службе удаленных рабочих столов целевых систем через RDP.
Интересным является тот факт, что эту или схожую уязвимость продавали в «даркнете» как минимум с сентября прошлого года:
SELLER, [30.09.18 12:54]Эксплуатация этой уязвимости дает возможность написания вредоносного ПО, аналогичного WannaCry, обнаруженного ровно 2 года назад.
RDP RCE Exploit
description:
This is a bug in RDP protocol.
That means you may exploit any Windows remotely who enables RDP.
vulnerability type:
Heap overflow
affected versions:
Windows 2000/XP/2003/Vista/7/2008(R2)
privilege level obtained:
SYSTEM privilege
reliability:
90% for one core / 30% for multiple core
exploitation length:
around 10 seconds
Possible buyer, [30.09.18 12:58]
affected versions:
Windows 2000/XP/2003/Vista/7/2008(R2)
LOL
Possible buyer, [30.09.18 12:58]
is it pre-auth or post-auth vuln?
SELLER, [30.09.18 12:59]
Pre
Possible buyer, [30.09.18 12:59]
for how much they/he/she sells it?
SELLER, [30.09.18 12:59]
500
SELLER, [30.09.18 12:59]
Shared
Possible buyer, [30.09.18 12:59]
500k USD?
SELLER, [30.09.18 13:00]
So u can guess it was sold few times
SELLER, [30.09.18 13:00]
Yes
This vulnerability is pre-authentication and requires no user interaction. In other words, the vulnerability is ‘wormable’, meaning that any future malware that exploits this vulnerability could propagate from vulnerable computer to vulnerable computer in a similar way as the WannaCry malware spread across the globe in 2017.Уязвимость настолько серьёзная, что Microsoft выпустила патчи даже для неподдерживаемых версий ОС — Windows XP и Windows 2003.
Комментарии (31)
slonopotamus
15.05.2019 10:08+1Всё-таки, уязвимость не в протоколе, а в его реализации в Windows.
danfe
15.05.2019 10:16Тоже немного обидно стало за RDP; в соседней новости этот момент специально оговаривается:
Для эксплуатации этой уязвимости [...] используя RDP (сам протокол RDP при этом не является уязвимым).
claymen
15.05.2019 11:17Вот все выходные лечили другу шифровальщика…
Проникли через проброшенный порт RDP на сервер…
Видимо этим
Просили 1500 $ (спасибо @thyrex c safezone.cc)
«Вы всё еще пробрасываете порты на RDP мы уже идем к вам» (С)
Сколько говоришь что низя… Но много стало админов кому это оч сложно объяснить…Jump
15.05.2019 11:43+1Это почему нельзя порты пробрасывать?
А как тогда- напрямую белый адрес на сервер терминалов? Или VPN городить?
Нормально настраивать надо безопасность сервера, в том числе и RDP подключений.
А порты пробрасывать это нормально!
А вообще шифровальщиков не лечат — просто восстанавливают из бэкапа систему и работают дальше.
Зачем его лечить непонятно.DaemonGloom
15.05.2019 12:59Исторически, для RDP используется VPN-туннель в качестве разумной меры предосторожности. Слишком часто всплывали в этом деле уязвимости, чтобы выставлять данную часть просто в интернет.
А с лечением — если гадость попала на ваш сервер, а прочие доступны по тому же RDP уже с него — вам пошифруют и их. И не важны становятся ваши пароли, политики и прочее.
chupasaurus
15.05.2019 16:44Помимо VPN есть RDP-шлюз под IIS, который не стартует сессию до аутентификации.
kprohorow
16.05.2019 00:42Зачем лечить сифилис если можно просто каждый раз принимать антибиотики? Презервативы для слабаков.
kprohorow
16.05.2019 08:02Перечитал свой же комментарий — я имел ввиду "Зачем предохраняться от сифилиса, если можно каждый раз принимать антибиотики".
Ох как вредно писать комментарии сонным.
andreyle
15.05.2019 13:22Видимо этим
Самое вероятное слабый пароль.
Для данной дыры, официально, эксплойта пока нет.
claymen
15.05.2019 12:37VPN городить
— ИМЕННО через VPN!!!
Зачем его лечить непонятно.
Это еще одна болезнь админов, не делать или не там хранить бекапы. Бекапы тоже пошифровались ибо проникли на сервер.
Нормально настраивать надо безопасность сервера
данный эксплоит как обезопасить, на то она и уязвимость.
LESHIY_ODESSA
15.05.2019 13:13Прямая ссылка на скачку патча для — Windows Server 2008 R2 for x64-based Systems Service Pack 1
Для Windows 7 for x64-based Systems Service Pack 1 даёт скачать тот же файл.
pascvilant
15.05.2019 14:33Не плюйтесь, пожалуйста, но.
Указано, что и ХРюха в обойму попала.
А вот патча под хрюху на www.catalog.update.microsoft.com/Search.aspx?q=KB4499175 как то не видно.
У кого нибудь есть ссыль?FrankSinatra
15.05.2019 14:37www.catalog.update.microsoft.com/search.aspx?q=4500331
1 в списке.
Это обновление помечено как «Deployment: Catalog». На неподдерживаемых ОС его надо ставить ручками.
Gaikotsu
15.05.2019 15:29Хм, а в ежемесячный набор исправлений для Win7 данный патч входит? А то кроме этого набора ничего сегодня мне в систему не прилетело.
crlam0
16.05.2019 03:11Входит, по информации с сайта МС. Более того: я отдельно не нашёл этот патч, хотя не особо искал: мне МС предложил сразу скачать месячный апдейт, что я и сделал.
Infra_HDC
Что-то не прилетает. К тому же, нет указания ни на ссылки, по которым скачать директом, ни номера KB. Странно всё это.
xxxkms
В первом предложении статьи ссылка вообще то.
Cryvage
В самом первом абзаце же есть ссылка.
Вот ещё в соседней статье есть ссылка на патчи для XP/2003.
upd: выше меня немного опередили, но пусть ссылки тут будут. Может кому пригодятся.
okeld
Я же правильно понял, что windows server 2016 не подвержены этой уязвимости?
evmenkov
да, все верно
krebsonsecurity.com/2019/05/microsoft-patches-wormable-flaw-in-windows-xp-7-and-windows-2003/#more-47682
CVE-2019-0708 does not affect Microsoft’s latest operating systems — Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, or Windows Server 2012.