Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Krytyczne podatności w windowsowym Remote Desktop Services – można zdalnie, bez uwierzytelnienia przejmować komputery (dostęp na admina)

13 sierpnia 2019, 21:05 | W biegu | komentarze 3

Podatności w Remote Desktop Services Microsoft opisuje tutaj:

Nie owijając zbytnio w bawełnę:

W RDP jest podatność klasy RCE, którą można wykorzystać bez uwierzytelnienia przez przesłanie odpowiednio złośliwej komunikacji. Podatność nie wymaga interakcji ofiary, a atakujący może wykonywać dowolne polecenia na docelowym systemie, łącznie z tworzeniem kont z pełnymi uprawnieniami.

A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Jak widać, podatne są systemy klienckie od Windows 7 (również 8 oraz 10), oraz edycje serwerowe (od 2008 serwer). Sam Microsoft uczciwie dodaje że możliwe jest stworzenie samoistnie propagującego się robaka:

Like the previously-fixed ‘BlueKeep’ vulnerability (CVE-2019-0708), these two vulnerabilities are also ‘wormable’, meaning that any future malware that exploits these could propagate from vulnerable computer to vulnerable computer without user interaction.

Polecamy skrupulatne załatanie swoich systemów, zanim ktoś przygotuje bojowego exploita, umożliwiającego automatyczną propagację.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Karol

    kb4512486 na Windows 7 nie daje się zainstalować

    Odpowiedz
    • John Sharkrat

      Wyłącz AV na czas instalacji, może pomoże.

      Odpowiedz
    • Xyzz

      Są dwie możliwości:

      – Od pewnego czasu aktualizacje do win7 są podpisywane wyłącznie z użyciem algorytmu sha2 – potrzebna jest aktualizacja, która umożliwia obsługę tego algorytmu. Z tego co kojarzę to ta aktualizacja pojawiła się gdzieś w okolicach marca.

      – Od czasu wprowadzenia do win7 „comiesięcznych aktualizacji zbiorczych” aplikowanie niektórych aktualizacji w przypadku zmodyfikowanego mbr (dual boot i niektóre inwazyjne DRM-y typu FlexNet stosowanego np. w AutoCAD) jest problematyczne.

      Odpowiedz

Odpowiedz