Cогласно информации, предоставленной компанией Microsoft, для успешной эксплуатации необходимо лишь иметь сетевой доступ к хосту или серверу с уязвимой версией операционной системы Windows. Таким образом, в случае если системная служба опубликована на периметре, уязвимость можно проэксплуатировать непосредственно из сети интернет, без дополнительного способа доставки. Рекомендации по мерам защиты под катом.
На данный момент уязвимость актуальна для нескольких десятков организаций в России и более 2 млн организаций в мире, а потенциальный ущерб от промедления в оперативном реагировании и принятии защитных мер будет сравним с ущербом, нанесённым уязвимостью в протоколе SMB CVE-2017-0144 (EternalBlue).
Для эксплуатации этой уязвимости, злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).
Важно отметить, что любое вредоносное ПО, использующее эту уязвимость, может распространяться с одного уязвимого компьютера на другой аналогично шифровальщику WannaCry, распространившемуся по всему миру в 2017 году.
Версии ОС Windows, подверженные уязвимости:
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
Рекомендуем оперативно:
- В случае ранее опубликованного сервиса RDP на внешнем периметре для уязвимой ОС — закрыть этот доступ до устранения уязвимости.
- Установить необходимые обновления ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры: патч для Windows 7, Windows 2008, Windows XP, Windows 2003.
Возможные дополнительные компенсирующие меры:
- Включение проверки подлинности на уровне сети (NLA). Однако, уязвимые системы по-прежнему останутся уязвимыми для использования удаленного выполнения кода (RCE), если у злоумышленника имеются действительные учетные данные, которые можно использовать для успешной аутентификации.
- Выключение протокола RDP до момента обновления и использование альтернативных способов доступа к ресурсам.
Комментарии (29)
snd3r
15.05.2019 08:00Уже вторая заплатка для ХР после окончания поддержки. Майкрософт — молодец.
LoadRunner
15.05.2019 09:13Мало ли, может у них самих кто-то где-то использует ХР и не желает ставить другую ось. Ну и патчи уязвимостей делает под неё, а потом делится.
snd3r
15.05.2019 10:07У них самих вряд-ли, а вот какой-нибудь клиент с расширенной, в рамках отдельного договора, поддержкой думаю есть — например какой-нибудь банк с большим парком банкоматов.
Dima_Sharihin
15.05.2019 09:38О, а мне прислали на почту "у вас открыт RDP-порт на сервере, это опасно, спрячьте его за VPN"
VPS, между тем, вообще на убунте крутился, но теперь понятно почему вообще предупреждали
ZUZ
15.05.2019 11:33А у меня другая запара случилась с Йотой: при попытке скачать обновы телефоном оператор блочит инет типа якобы я его раздаю.
После животрепещущец переписки с саппортом они так на прямую и сказали: блокировка "не харатктерного трафика для мобильного телефона сработала корректно". Хотя сначала морозились, что мол это я раздаю на комп с виндой инет. Ну хоть восстановили, редиски.
inoyakaigor
15.05.2019 13:19Именно так они и определяют, что пользователь раздаёт интернет и именно поэтому инструкции со сменой TTL давно уже не работают
ZUZ
16.05.2019 23:37Возрадуйтесь, походу исправили (надеюсь это не только у менч теперь можно качать обновы):
15-05 22:01
Уважаемый клиент! Для решения заявки 31015915 нам потребуется дополнительное время, до 5 дней. Приносим извинения за неудобства. Ваша Yota.
16-05 14:49
Уважаемый клиент!
Работы по заявке завершены.
Произведены настройки на сети, проблема с некорректным отображением режима модема устранена.
Приносим извинения за доставленные неудобства.
Ваша Yota.
Проверил: обновы скачались без происшествий.
LESHIY_ODESSA
15.05.2019 13:13Прямая ссылка на скачку патча для — Windows Server 2008 R2 for x64-based Systems Service Pack 1
Для Windows 7 for x64-based Systems Service Pack 1 даёт скачать тот же файл.
agalakhov
15.05.2019 13:22Интересно, реально ли уязвимость отсутствует в более новых версиях, или же она просто замаскирована и эксплуатируется иначе.
Fostrall
15.05.2019 13:22+2Уязвимость серьёзная, но уровнем EternalBlue не пахнет:
1. Неизвестно сколько из этих 2,3кк торчащих в инет узлов защищены NLA.
2. В отличие от SMB, RDP по-умолчанию выключен в системе.
SolarSecurity Автор
15.05.2019 14:561. Да, вы правы, но из нашей практики крайне редко публикация административных портов в интернет гармонизируется с политиками информационной безопасности. Также стоит учитывать, что при публикации сервисов администраторы часто перевешивают их на нестандартные порты, поэтому скриншот показывает ещё и неполную картину.
2. В корпоративной среде, которая может стать наиболее вероятным источником атаки, RDP включается почти везде.
Aleshkov
15.05.2019 14:571. А что если эксплойт прикрутят к шифровальщику и запустят внутрь сети? Wannacry тоже зачастую не пробивался снаружи в корп сеть. Достаточно одного сотрудника с письмом «счастья».
2. «RDP по-умолчанию выключен в системе» — разве? Насколько я знаю, то совсем наоборот. Если речь о том, что доступ разрешен только админам, то для этой уязвимости это не важно, главное, что служба работает/порт доступен.
Am0ralist
15.05.2019 16:03«RDP по-умолчанию выключен в системе» — разве?
Да, настройка выставлена в положение «Не разрешать удаленные подключения к этому компьютеру». Разрешен по умолчанию удаленный помощник.Aleshkov
15.05.2019 16:25«Не разрешать удаленные подключения к этому компьютеру» не значит, что служба выключена и порт закрыт. Значит система уязвима. Согласно рекомендации MS должна быть выключена служба:
1. Disable Remote Desktop Services if they are not required.
If you no longer need these services on your system, consider disabling them as a security best practice. Disabling unused and unneeded services helps reduce your exposure to security vulnerabilities.
Taciturn
15.05.2019 17:18По умолчанию порт закрыт, специально сейчас проверил в виртуалке в голой W7.
Fostrall
15.05.2019 17:48Короче, я уж думал чего-то не понимаю. Поэтому заморочился и поставил чистую win7, вот результаты:
ibb.co/xFzgwnW
ibb.co/KFbY04D
Как я и говорил, RDP по-умолчанию выключен.Aleshkov
16.05.2019 10:51windows 7 — может, а на серверах rdp тоже по умолчанию у вас закрыт?
Fostrall
16.05.2019 10:59С сайта майков:
By default, Remote Desktop for Administration is installed when Windows Server 2003 is installed. However, Remote Desktop for Administration is disabled for security reasons.
Aleshkov
16.05.2019 13:20Ребят, ну серьезно, причем тут настройка по умолчанию и продуктивная среда с сотнями-тысячями серверов… тут GPO рулит. А RDP — основной протокол удаленного управления виндой.
legolegs
15.05.2019 13:46блочит инет типа якобы я его раздаю.
За такие тарифы предусмотрен отдельный котёл в аду, без права раздачи кипящей серы другим грешникам.
Protos
Прав простого пользователя или гостя достаточно?
acyp
Судя по описанию аутентификация не требуется, атака происходит на стадии рукопожатия. Успокаивает, что все системы устаревшие (у меня таких уже давно нету)
shane54
В том то и дело что WS2008R2 ещё ой как много где используется (сужу по своему парку)
acyp
Каждый судит о мире по себе. Но и 2008 не беда. Как я понимаю инфа об уязвимости из внутреннего оборота м-компании пришла, а значит и заплатки готовы.