Подробности и рекомендации по защите под катом.
Опубликованные RCE-уязвимости в Службах Удаленных рабочих столов RDS в ОС Windows (CVE-2019-1181/1182) при успешной эксплуатации позволяют злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение кода на атакуемой системе.
Для эксплуатации уязвимостей злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).
Важно отметить, что любое вредоносное ПО, использующее эту уязвимость, потенциально может распространяться с одного уязвимого компьютера на другой аналогично распространению вредоносного ПО WannaCry по всему миру в 2017 году. Для успешной эксплуатации необходимо лишь иметь соответствующий сетевой доступ к хосту или серверу с уязвимой версией операционной системы Windows, в том числе, если системная служба опубликована на периметре.
Версии ОС Windows, подверженные уязвимости:
- Windows 10 for 32-bit/x64-based
- Windows 10 Version 1607 for 32-bit/x64-based Systems
- Windows 10 Version 1703 for 32-bit/x64-based Systems
- Windows 10 Version 1709 for 32-bit/x64-based Systems
- Windows 10 Version 1709 for ARM64-based Systems
- Windows 10 Version 1803 for 32-bit/x64-based Systems
- Windows 10 Version 1803 for ARM64-based Systems
- Windows 10 Version 1809 for 32-bit/x64-based Systems
- Windows 10 Version 1809 for ARM64-based Systems
- Windows 10 Version 1903 for 32-bit/x64-based Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows 7 for 32-bit/x64-based Systems Service Pack 1
- Windows 8.1 for 32-bit/x64-based systems
- Windows RT 8.1
- Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
Рекомендуем:
- Установить необходимые обновления для уязвимых ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры, согласно принятым в компании процедурам управления уязвимостями:
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182 - При наличии опубликованного сервиса RDP на внешнем периметре для уязвимой ОС – рассмотреть ограничение (закрытие) доступа до устранения уязвимостей.
На текущий момент нет информации о наличии PoC/эксплоита/эксплуатации данных уязвимостей, однако медлить с патчами не рекомендуем, часто их появление — вопрос нескольких суток.
Возможные дополнительные компенсирующие меры:
- Включение проверки подлинности на уровне сети (NLA). Однако уязвимые системы по-прежнему останутся уязвимыми для удаленного выполнения кода (RCE), если у злоумышленника есть действительные учетные данные, которые можно использовать для успешной аутентификации.
- Временное выключение протокола RDP для уязвимых версий ОС до момента установки обновлений, использование альтернативных способов удаленного доступа к ресурсам.
Комментарии (108)
User2Qwer
14.08.2019 03:36-2последнее что я цеплял лет 13 назад был sality.
Обновления всю дорогу отключаю всем и везде.
Обхожусь фаерволом. Для всего подозрительно с головой хватает virustotal'a.
При этом много качаю софт хлама с дарквебов и прочих кахер кидиес ресурсов.
Не знаю чё вы на домашних машинках плачетесь, ой систему распёрло.
Я прекрасно понимаю, что если стану чьей то мишенью и кто-та мною заинтересуется, то ничего не спасёт, от слова абсолютно. Кроме вовремя сделанных бекапов. Ладно там на серваке это жизненно необходимо. Кстати изредка об0с*ать на западные ресурсы спец служб захожу. И вижу как они через любые закрытые нульдейс потом лезут ко мне за логами в винду. Иногда хлам свой подгружают и винду через экран смерти ребутят. Это прям в наглую у них пошло спустя какое-то время после принятия закона об удалённом взломе всех во всём мире при подозрений. Я бы для них ханипоты делал чтобы изучать, вдруг чё полезное.
Помню как-то у одного местного уважаемого какера инфу надо было достать. Нашёл криптор приватный на испанском вроде, комету зарядил, собрал её в установочник какого-то софта и заслал казачка с флешкой на консультацию, якобы ч1 та не устанавливается и не работает. Дошло даже до поднятия митм прокси для аськи. Эх было интресное время.scronheim
14.08.2019 06:32А потом Вы проснулись?
wyfinger
14.08.2019 07:13-2А потом Вы проснулись?
Обновления часто несут не меньшую опасность, чем сама уязвимость, вспомните про Yandex.Disk.
Я с тех пор тоже обновления винды ставлю раз в год вручную, никакого доверия им нет, приходится гуглить что делает каждое конкретное обновление.
И, конечно, полностью отказался от антивирусов, т.к. вреда от них больше.
P.S. Сильно бесит в этом отношении Google Chrome своей агрессивной политикой установки обновлений, от Firefox тоже пришлось отказаться т.к. они убрали галку блокировки обновлений.
Sergey-S-Kovalev
14.08.2019 07:55Вы наверное против прививок, и еще и вегетарианец?
wyfinger
14.08.2019 08:35Прививки вы ставите сам, по своей воле, никто вам их автоматически не поставит.
Видимо Вы от обновления Yandex.Disk в 2013 году не пострадали..:)
Проблема в том, что с обновлениями безопасности тулят все остальное мне не нужное: новый функционал (привет Nero), изменения интерфейса и прочее, добавляя при этом новые ошибки.
Я не против обновлений, я против автоматических обновлений — только под моим контролем.
Прививка это скорее аналогия брандмауэра, virustotal и элементарной компьютерной грамотности — здесь я двумя руками за.Sergey-S-Kovalev
14.08.2019 09:03-1Пострадать не пострадал. Сделал откат изменений и продолжил жить дальше с +200 гигами в Я.Диске.
Элементарная компьютерная грамотность говорит, что защита компьютера это комплекс мер, и попытка заменить какие то компоненты своей головой и руками всегда обречена на провал.
Когда Вы закрываетесь от всего нового, от этого сужается Ваш кругозор, в итоге у Вас остается только Ваша точка зрения. Субъективная и оторванная от реальности. Не владея всей полнотой информации Вы не можете делать логически правильных выводов. А своя точка зрения не дает Вам понять, что Вы не правы. Вы в созданной Вами же ловушке невежества и некомпетентности. И уже докатились до того, что это очевидно окружающим.wyfinger
14.08.2019 10:12Это вы слишком глубокие выводы делаете…
Я просто не доверяю разработчикам права без моего ведома устанавливать что бы то ни было на мой компьютер.
staticmain
14.08.2019 10:19Сделал откат изменений
Научите, сенсей, как делать откат rm -rf?DaemonGloom
14.08.2019 10:36Есть разные способы: btrfs и снапшоты, ntfs и теневые копии. Резервное копирование ежедневное, в конце концов.
staticmain
14.08.2019 10:38ntfs и теневые копии
Как это спасет от
?rmdir /s /q C:\
drWhy
14.08.2019 10:52Установление в ntfs запрета на удаление папок?
staticmain
14.08.2019 10:54Yandex.Disk unistaller запускался от рута. И запрет тогда должен распространятся на все поддиректории.
DaemonGloom
14.08.2019 11:20+2С теневой копией при удалении папки/файла ничего не происходит. Не страшен ей rmdir.
vesper-bot
14.08.2019 11:49-2Не так. Как это спасет от
vssadmin delete shadows?staticmain
14.08.2019 12:28Причем здесь delete shadow, если речь про деинсталлятор яндекс.диска, который сносил C:/?
JerleShannara
14.08.2019 16:46Если я такое найду в uninstaller-е, то поеду бить морду разработчику, правда, боюсь, прийдется в очередь вставать, т.к. не один такой окажусь.
vesper-bot
15.08.2019 09:49Если в анинсталлере был rm -rf /, я бы тоже кому-то морду набил, да. Я бумал, разговор про защиту от вирусов через "откат".
JerleShannara
15.08.2019 16:10«rm -rf ./» в анинсталлере я вполне ожидаю, производной от которого могут быть всякие опечатки вида «rm -rf /» и «rm -rf. /». А вот команды подобные «dd if=/dev/zero of=/dev/sda» и прочие на убийство ФС и его содержимого — нет.
Sergey-S-Kovalev
14.08.2019 20:03+1Насчет rm -rf не подскажу.
Насчет rmdir /s /q C:\ все просто:
1. Включаем «Защита системы» для нужных разделов в режиме (для Win7 коя была на том ПК в 2013 году) Восстановить параметры системы и предыдущие версии файла.
2. Выделяем места побольше, я обычно ставлю 30%
3. Тыкаем «Создать...» и задаем имя.
4. Запускаем cmd из под локального администратора с повышенными привилегиями.
5. Делаем ужасный rmdir /s /q C:\
6. Ждем. Ждем. Ждем окончания этого варварского процесса.
7. Перезагружаемся и видим факап с загрузкой системы.
8. Вставляем диск или флешку с любой 7+ виндой, желательно той же разрядности. Могли бы и не вставлять, если в Win7 образ WinRE лежал в загрузочном разделе, а не на диске С. В последующих версиях виндов все нормально, там сразу идем в консоль восстановления.
9. Запускаем консоль. Переходим на букву раздела (например D:) который был системным. Заходим в windows\system32 для х86, или windows\syswow64 для х64 систем
10. Запускаем vssadmin.exe list shadows и смотрим время нужной нам точки восстановления путь до нее
11. Делаем
12. В пункте 11 обращаю внимание, что путь должен заканчиваться на "\", а вместо 100500 нужная цифраmklink /d D:\VSS_Snapshot \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy100500\
13. Запускаем робокопи из папки D:\VSS_Snapshot в корень диска D:, хотя я обычно делаю это из FAR Manager, запущенного тут же из снапшота теневой копии. Ждем окончания копирования, игнорируем ошибки.
14. Перезагружаемся и видим что винда стала рабочей.
15. Заходим в Защита системы/Восстановление…
16. Выбираем снова нужную точку и запускаем процесс восстановления уже из самой винды, это починит хардлинки, которые мы не восстановили при копировании в консоли.
17. Винда перезагружается и Вы получаете ту же систему что и до пункта 5.
18. делаем rmdir D:\VSS_Snapshot ибо оно больше не требуется.
18. Готово.
Все сделано средствами самой винды.
Сейчас я, конечно, таким не страдаю. Проще настроить Veeam Agent, с ним и проще и возможностей побольше.
В случае факапа с Яндекс.Диском у меня пострадала только папка винды. Винда грузилась, но её колбасило. Тут же восстановился и как ничего не произошло. Даже не понял из-за чего было.
Jogger
14.08.2019 11:34То есть по вашему, попытка заменить голову какими-то компонентами это намного лучше? Глупости. Я каждый день вижу, как люди с антивирусами становятся жертвами банального фишинга. Это не преувеличение и не выдумки — я действительно каждый день вижу, иногда по нескольку раз. А вот людей которые стали жертвами потому, что заменили антивирус на здравый смысл — пока что не встречал. Это конечно не значит что их нет, но как минимум их на несколько порядков меньше.
И да, пользователей, пострадавших от обновлений, я тоже видел немало. Хотя конечно это всё равно скорее исключение, чем правило.dimm_ddr
14.08.2019 15:13То есть по вашему, попытка заменить голову какими-то компонентами это намного лучше?
Вроде бы не было предложения заменить голову на инструменты. Насколько я понимаю предыдущий комментатор предлагал совмещать, а не замещать.
Sergey-S-Kovalev
14.08.2019 15:16Не торопитесь. Прочитайте моё сообщение еще раз. Потом еще раз. Затем сделайте три глубоких вдоха с закрытыми глазами, и прочитайте еще раз. Сфокусируйтесь, читайте по слогам вторую половину второго абзаца — это должно устранить ошибку скорочтения, когда смысл меняется на обратный.
Что нибудь изменилось?Jogger
14.08.2019 15:41Не торопитесь. Прочитайте моё сообщение еще раз. Потом еще раз. Затем сделайте три глубоких вдоха с закрытыми глазами, и прочитайте еще раз. Сфокусируйтесь, читайте по слогам вторую половину второго абзаца — это должно устранить ошибку скорочтения, когда смысл меняется на обратный.
Что нибудь изменилось?
JerleShannara
14.08.2019 16:46Common Sense 2010 — отлично защищает от фишинга
Revertis
14.08.2019 17:39Так он не устанавливается без Educated Brain 2000!
JerleShannara
15.08.2019 16:13Увы, у его инсталлятора есть проблема с тем, что автоматически не подтягиваются Educated Brain 2000 и не ставится драйвер straight_hands.ko/straight_hands.sys
Revertis
15.08.2019 16:21Так ведь straight_hands.ko/straight_hands.sys добавляются через какое-то время использования Educated Brain 2000, но его надо отдельно ставить, да.
goldrobot
14.08.2019 14:19Да, мы против прививок когда ты болен и имеешь температуру под 39 градусов, чем и занимается мелкософт.
shalm
14.08.2019 10:04+1Это традиция такая, ставить обновления 1 день в году?.. 1 апреля подходящее время для это праздника
JerleShannara
14.08.2019 16:44Соберите лису себе сами, если так не нравятся автоматические обновления, в чём сложность?
wyfinger
14.08.2019 17:44Мне проще не пользоваться ей.
Кстати есть способ отключить постоянные предложения обновлений: www.ghacks.net/2018/07/28/mozilla-makes-it-more-difficult-to-block-firefox-updates
Еще покоробило в их обсуждении по-поводу того, чтобы убрать эту галку, как они простых юзеров называют — «lambda users», прямо Хаксли какой-то…
NoRegrets
14.08.2019 13:35+1Забавно, пишите еще! Особенно про западные спецслужбы, которые к вам через «нульдейс лезут».
dartraiden
14.08.2019 18:56На этом месте становится понятно, что товарищ либо толсто троллит, либо пациент.
hellowitty
14.08.2019 19:16Я подозреваю, что это пост Эрика Сноудена. Это объясняет и историю и знания русского языка.
Dioxin
14.08.2019 08:03+2Временное выключение протокола RDP для уязвимых версий ОС
Это тоже самое что посоветовать выключить компьютеры и не работать.
Вот руководство обрадуется.
SolarSecurity Автор
14.08.2019 10:59Для ИТ и helpdesk действительно настанут черные дни, но на основные бизнес-процессы это все-таки не влияет. Но из практики wannacry — иногда лучше добавить другой способ управления или потерпеть, чем долго и мучительно восстановливать инфраструктуру после влетевшего шифровальщика массового поражения. Как раз в случае petya и wannacry бывало, что заказчики целиком отказывались от работы через SMB до устранения проблемы.
Victor_koly
14.08.2019 12:17Несколько отделов использовали 1С на сервере через RDP. Обновы наверное отключены на многих компах, а кто-то в этих отделах точно сидел на XP.
P.S. Правда потом сотрудница уволилась и комп перешел другому отделу.
Dioxin
14.08.2019 13:52но на основные бизнес-процессы это все-таки не влияет.
Ну конечно. Никто не работает в терминале, только программируют и админят.
AkshinM
14.08.2019 21:00Не соглашусь. Можно РДП и закрыть. DameWare Mini Remote Control достаточен для удобного удаленного управления, естественно если между двумя компьютерами открыт соответствующий порт. Конечно это не отменяет наличия уязвимости в ПО, но всяко лучше чем РДП. К тому же в проге имеется возможность одновременного подключения нескольких людей где, тот кто подключился первым управляет, а остальные наблюдают. При самом первом подключении требуются админские права, чтобы приложение смогло установить свой агент на удаленный компьютер, а после при следующих подключениях админские права даже и не требуется — пользователю сидящему за удаленным компьютером выходит окошко с просьбой разрешения на то чтобы к нему подключились. А если нужно заходить без разрешения напролом то нужно заходить от имени администратора.
Victor_koly
14.08.2019 08:19Свежий патч (кумулятивный под 300 МБ) на Семерку поставили вчера или тут уже никто не использует?
tvr
14.08.2019 10:51А что про XP?
Revertis
14.08.2019 17:43Выпущена 18 лет назад, расширенная поддержка окончена больше пяти лет назад.
Может хватит насиловать труп?tvr
14.08.2019 18:05Да ладно, вроде даже и не пахнет ещё.
А если серьёзно, то для печатной машинки/1C/хабра/мыла/аськи (да-да, ещё одна стюардесса с того же рейса!) вполне хватает на древнем железе.Revertis
14.08.2019 18:15Зачем использовать настолько древнее железо? Оно ведь даже экономически невыгодно, жрёт больше электроэнергии, больше греется.
kisskin
14.08.2019 21:04+1п4 или c2duo или что еще из той же серии на WinXP под клиента RDP самое то… больше жрёт? на 30 или 50 вт? это на сколько? на 60р в месяц? Огромные деньги, конечно, но как-нибудь переживём.
JerleShannara
15.08.2019 03:20Скажем так, уже почти с год один из пользователей стюардессы заметил одну особенность — firefox не обновляется, chrome тоже.
sumanai
15.08.2019 08:48-1Наблюдательный пользователь. Обычный заметил бы только тогда, когда сайты начали бы ломаться.
JerleShannara
15.08.2019 16:15Хром своей плашкой «Ваша ОСь — старая лохань, новых версий себя я вам не поставлю» задолбает и обыкновенного.
OnelaW
14.08.2019 10:57Не я конечно понимаю что операционная система очень тяжелый продукт и отследить все этапы производства практически нереально, но может как-то можно отслеживать производство на ключевых этапах и на производстве ключевых блоков.
TargetSan
14.08.2019 16:10Windows Update не способен посчитать сколько места понадобится чтобы накатить апдейты. А вы о каких-то там ключевых блоках… Тут срочно надо ещё больше настроек выпилить чтобы бедные хомячки не порезались (а заодно эникейщики ничего не смогли сделать).
OnelaW
14.08.2019 16:17Windows: Для установки последних обновлений не достаточно места на жестком диске. Рекомендуется 20 ГБ свободного пространства для установки обновлений.
Пользователь: как же так только вчера было 50 ГБ?
Windows: Для установки последних обновлений не достаточно места на жестком диске.
Пользователь матерясь и сопя удаляет неиспользуемые программы, очищает корзину, журнал браузеров и картинки с котиками.
Windows: Ням-Ням-ням. Для установки последних обновлений не достаточно места на жестком диске.Victor_koly
14.08.2019 16:37Сразу отвести 80 ГБ под диск C:.
А по поводу «странностей объема». Скажем в Семерке создаешь «Точку восстановления». Объем занятого под точки (по версии свойств в «Защита системы») растет на меньшую величину, чем реально тратится места на диске.TargetSan
14.08.2019 17:32Проблема в том, что эта дрянь жрёт больше чем все игрушки вместе взятые, ради которых я её держу.
Семёрка же скорее всего использует hardlinks, которые были сделаны через такое специальное место разработчиков, что в отличие от линукса ими могут пользоваться только Избранные, а считать занимаемый объём мало кто умеет. Проводник например не умеет.sumanai
15.08.2019 08:41которые были сделаны через такое специальное место разработчиков, что в отличие от линукса ими могут пользоваться только Избранные
Одна маленькая программа решает это недоразумение.
а считать занимаемый объём мало кто умеет
На самом деле никто и нигде не умеет.
alexanster
14.08.2019 11:22Windows Server 2008, который без R2, в списке отсутствует за давностью лет или по причине отсутствия уязвимости? Предполагаю, что первое.
CherryPah
14.08.2019 12:00Также как в списке нет и XP
Так что да, скорее всего это связано что версии систем для которых закончилась поддержка перестают перечисляться в бюллетенях безопасности
Патчей то под них все равно уже не выпустятalexanster
14.08.2019 12:45Цитирую первый абзац:
Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows.
Вот и непонятно, что с 2008 — то ли она стара и не подвержена уязвимости, тогда как R2 в списке есть, то ли на неё рукой махнули.
P.S.
А в особо тяжёлых случаях MS выпускает патчи и для старья типа XP/2003.DaemonGloom
14.08.2019 12:53В текущей ситуации — уязвимы версии RDP с 8 и выше. 2008/Vista — это версия 7.какая-то.
Zeroxzed
14.08.2019 13:53Windows XP, Windows Server 2003, and Windows Server 2008 are not affected, nor is the Remote Desktop Protocol (RDP) itself affected.
msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182
IDDQDesnik
14.08.2019 12:26Windows Server 2008 поддерживается до января 2020 года. Вероятно, она была исправлена с первой волной, и сейчас не уязвима.
kisskin
14.08.2019 21:01На Windows Server 2008 R2 Sp1 отдельное обновление не поставилось — ошибка)
Самое забавное — августовское кумулятивное обновление с этим обновлением тоже не ставится с ошибкой.
Хотя 11 других обновлений, вышедших перед ним, поставились.
Хахаха, Мелкософт, ты наполняешь нашу жизнь адреналином. Это не какие-то предсказуемые иксы. :-)Douk-Douk
15.08.2019 10:49только что (начитавшись ужасов) поставил на w7 кумулятивное обновление kb4612506 (то, что как бы лечит). В начале ругалось, что «приложение без подписи» и выбрасывало ошибку. Небольшое гугленье подсказало, что перед ним нужно поставить kb4474419 (добавляет SHA-2. причём из всего что предлагается, в начале нужно ставить только его — без остального «пакета». После рестарта можно уже что и как угодно. «Но это не точно»(с) — майкрсофт же).
И всё сразу установилось. Для сервера его вроде как тоже нужно ставить.
Ну а сли нет — гуглить по номеру ошибки
ЗЫ. Правда не знаю зачем мне это надо (обновлять) — семёрка-то чисто «про запас» и «как память» (а десятка — «потыкать палочкой»(с)). Так-то на линуксе как-то спокойнее в наше время.kisskin
15.08.2019 12:46чисто по номеру ошибки находит, но всё не то(ну например «ждите исправления этой ошибки в следующих обновлениях» либо сомнительные советы), а по номеру ошибки и номеру нужных этих новых обновлений пока еще ничего не находит)
kb4474419 уже стоит, августовское. правда оно как оказывается есть в нескольких вариантах: март, май,… август, вот по мартовскому в списке обновлений — Отказ.
NikolayEpishin
15.08.2019 16:11Прикол в том, что должны стоять 2 обновления.
KB4474419
и
KB4490628
У меня первое было, пока не поставил второе, апдейты не накатывались.kisskin
16.08.2019 13:09большое спасибо — установка KB4490628 решила проблему с невозможностью поставить kb4512486 и kb4512506!
а вот как, по мнению мелкософта, пользователь должен догадаться, что ему надо поставить KB4490628, мне не очень понятно)
feyd12
14.08.2019 22:04При чем здесь ванакрай, smb по умолчанию включены винде, а вот RDP наоборот. Масштабы проблемы при утечке эксплойтов все равно несопоставимы потенциально, журнашлюги, блин
Amphis
15.08.2019 16:11
Когда смотришь на статьи из MSKB, соответствующие выпущенным обновлениям, то в разделе «Known issues in this update» ничего не говорится о том, что данное обновление устраняет обнаруженную уязвимость Remote Desktop Services. Даже если читать аннотацию к отдельным обновлениям системы безопасности: . Странно, что о RDS там не упоминается.vesper-bot
16.08.2019 09:18Known issues это список ПРОБЛЕМ, которые появляются после того, как поставить данный апдейт, а не список того, что апдейт патчит. Но в принципе согласен, об RDP ни в одном из KB ни слова, и это напрягает.
Andrey_Rogovsky
Нельзя выставлять винду в напрямую в интернет
RedCatX
Ничего нельзя выставлять напрямую в интернет.
SlavikF
А как надо выставлять — боком?
Не ходи дети, в Африку гулять…
Кто-нибудь может по русски пересказать вот это предложение:
Специальный запрос на RDP может его сломать, но при этом RDP неуязвим. Это как?
DaemonGloom
Это означает, что проблема в конкретной реализации и она решаема, а не в самом протоколе (и можно тушить свет и паниковать). Например, проблема с WEP в WiFi была суровой — как ни делай реализацию, уязвим сам протокол. Потому его похоронили в пользу WPA.
chupasaurus
artemlight
Вот кстати ни из статьи, ни из security advisory неясно, является ли уязвимым RDG.
chupasaurus
RDG — небольшое .NET приложение, которое состоит из обработки своего протокола, реверс прокси и аутентификации с проверкой прав на установление сессии. Если последняя часть честно скопирована из RDS — то тоже уязвима.
motordi
RDG не уязвим для BlueKeep-2, так как использует HTTPS для соединения с удаленной сетью, у же далее использует RDP протокол, и RDP не физически не открыты для WAN.
drWhy
SergeyMax
Почему неавторизованных-то) Вполне авторизованных. RDP-клиент держит пароль, и просто несколько раз пробует переподключиться после разрыва связи.
drWhy
Уязвимость якобы состояла в том, что клиент, ни разу не авторизовавшийся в RDP (просто инициировавший сессию), после обрыва и восстановления сессии оказывался авторизованным.
SergeyMax
Нет, вы ошиблись. Всё именно так, как я написал.
GAS_85
Да неужели? habr.com/ru/post/454928
SergeyMax
Да, неужели. «Злоумышленник» на клиентском устройстве видит запущенный RDP-клиент, хранящий в себе пароль, и ждёт, когда тот переподключится после обрыва связи. Я вам даже больше скажу, RDP-клиент подключится к удалённому серверу без запроса учётных данных даже в том случае, если вы перезагрузите удалённый сервер. Просто потому, что клиент делает 20 попыток подключения с запомненным паролем.
SergeyMax
Сейчас у вас вообще будет разрыв шаблона: вы можете обнаружить точно такую же «уязвимость» в протоколе SSH, если настроите авторизацию по ключам, или в клиенте Bitvise SSH, если используете опцию сохранения паролей. Любой может подойти к вашему компу и подключиться к любому используемому вами серверу! Автор упомянутой вами статьи просто немного хайпанул на тему «ололо очередная уязвимость в винде», а все остальные даже не стали вчитываться.
GAS_85
Ну это рука-лицо. В статье говориться не о том, что «любой может подойти», а о конкретной уязвимости с авторизацией по сетевым параметрам без сохранения паролей и ключей где-бы то ни было (ссылка выше).
SSH работает не так и не имеет отношения к вышеописанному.
SergeyMax
Вы видимо не полностью читали статью, или просто не поняли, чем вызвано обсуждаемое в ней поведение. А вызвано оно именно тем, про что я написал. И никакой «конкретной уязвимости» там нет. Выключите групповой политикой автоматическое переподключение, и, о боже, «уязвимость» исчезнет.
Tangeman
На самом деле да — не зря же придумали VPN.
Правда, с публичными сервисами это не поможет, но RDP к таковым вряд-ли относится.
Victor_koly
Какой-то был RDP на «белом» IP. Использовали, чтобы доказать клиенту провайдера, что с его стороны не блокируется RDP. оказалось, что админы клиента настроили «запретить с этого IP» вместо разрешения.
domix32
Триггерит какой-нибудь валидный buffer overflow и пишет в память то, что хочет атакующий. С точки зрения RDP при этом прилетел пакет
darksshvein
опенвпн+вайтлисты помогут отцу русского администрирования)
Andrey_Rogovsky
У меня сервер на линуксе как стоял, так и стоит
Уже много миграций было и дистрибутивы менял
И само железо
NoRegrets
Как же тогда интернет работает, если к нему ничего напрямую подключать нельзя?
AlxDr
С уязвимостями типа этой проблема в том, что прилететь может и из ЛВС. RDP часто включён и открыт для всей локалки, а снаружи подключение через VPN, поэтому «безопасно».
Кто-нибудь ноут заражённый принесёт и привет.
sav6622
Расскажите это облачным провайдерам, к примеру, Яндекс-облако, Амазон-облако…
BobArctor
В общем-то Амазону ничего рассказывать не надо. Они сами прекрасно рассказывают свою Shared Responsibility Model. TLDR: Если пользователь поднял инстанс, сделал его публично доступным и открыл всему миру (0.0.0.0), то пользователь сам принимает на себя всю полноту рисков и ответственности.
Revertis
А с любым другим провайдером VPS/VDS разве не так?