Удаленное выполнение произвольного кода в протоколе RDP



    Стало известно об опасной уязвимости в протоколе RDP: корпорация Microsoft подготовила экстренный патч для уязвимости с идентификатором CVE-2019-0708, позволяющей выполнить произвольный код на целевой системе.

    Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов (ранее они назывались службами терминалов), когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить произвольный код в целевой системе.

    The vulnerability (CVE-2019-0708) resides in the “remote desktop services” component built into supported versions of Windows, including Windows 7, Windows Server 2008 R2, and Windows Server 2008. It also is present in computers powered by Windows XP and Windows 2003, operating systems for which Microsoft long ago stopped shipping security updates.

    Чтобы воспользоваться уязвимостью, злоумышленнику необходимо отправить специально созданный запрос службе удаленных рабочих столов целевых систем через RDP.

    Интересным является тот факт, что эту или схожую уязвимость продавали в «даркнете» как минимум с сентября прошлого года:

    SELLER, [30.09.18 12:54]
    RDP RCE Exploit

    description:
    This is a bug in RDP protocol.
    That means you may exploit any Windows remotely who enables RDP.

    vulnerability type:
    Heap overflow

    affected versions:
    Windows 2000/XP/2003/Vista/7/2008(R2)

    privilege level obtained:
    SYSTEM privilege

    reliability:
    90% for one core / 30% for multiple core

    exploitation length:
    around 10 seconds

    Possible buyer, [30.09.18 12:58]
    affected versions:
    Windows 2000/XP/2003/Vista/7/2008(R2)
    LOL

    Possible buyer, [30.09.18 12:58]
    is it pre-auth or post-auth vuln?

    SELLER, [30.09.18 12:59]
    Pre

    Possible buyer, [30.09.18 12:59]
    for how much they/he/she sells it?

    SELLER, [30.09.18 12:59]
    500

    SELLER, [30.09.18 12:59]
    Shared

    Possible buyer, [30.09.18 12:59]
    500k USD?

    SELLER, [30.09.18 13:00]
    So u can guess it was sold few times

    SELLER, [30.09.18 13:00]
    Yes
    Эксплуатация этой уязвимости дает возможность написания вредоносного ПО, аналогичного WannaCry, обнаруженного ровно 2 года назад.
    This vulnerability is pre-authentication and requires no user interaction. In other words, the vulnerability is ‘wormable’, meaning that any future malware that exploits this vulnerability could propagate from vulnerable computer to vulnerable computer in a similar way as the WannaCry malware spread across the globe in 2017.
    Уязвимость настолько серьёзная, что Microsoft выпустила патчи даже для неподдерживаемых версий ОС — Windows XP и Windows 2003.
    Инфосистемы Джет
    545.05
    Системный интегратор
    Support the author
    Share post

    Comments 32

      0
      Что-то не прилетает. К тому же, нет указания ни на ссылки, по которым скачать директом, ни номера KB. Странно всё это.
        +1
        В первом предложении статьи ссылка вообще то.
          +7
          В самом первом абзаце же есть ссылка.
          Вот ещё в соседней статье есть ссылка на патчи для XP/2003.
          upd: выше меня немного опередили, но пусть ссылки тут будут. Может кому пригодятся.
        +4
        Ох и ценник, жесть…
          +3
          Если грузить крипто-локер то окупаемость меньше месяца.
          +11

          Всё-таки, уязвимость не в протоколе, а в его реализации в Windows.

          +1
          Вот все выходные лечили другу шифровальщика…
          Проникли через проброшенный порт RDP на сервер…
          Видимо этим
          Просили 1500 $ (спасибо @thyrex c safezone.cc)
          «Вы всё еще пробрасываете порты на RDP мы уже идем к вам» (С)
          Сколько говоришь что низя… Но много стало админов кому это оч сложно объяснить…
            +2
            Это почему нельзя порты пробрасывать?
            А как тогда- напрямую белый адрес на сервер терминалов? Или VPN городить?
            Нормально настраивать надо безопасность сервера, в том числе и RDP подключений.
            А порты пробрасывать это нормально!

            А вообще шифровальщиков не лечат — просто восстанавливают из бэкапа систему и работают дальше.
            Зачем его лечить непонятно.
              +5
              Исторически, для RDP используется VPN-туннель в качестве разумной меры предосторожности. Слишком часто всплывали в этом деле уязвимости, чтобы выставлять данную часть просто в интернет.
              А с лечением — если гадость попала на ваш сервер, а прочие доступны по тому же RDP уже с него — вам пошифруют и их. И не важны становятся ваши пароли, политики и прочее.
                +3
                Помимо VPN есть RDP-шлюз под IIS, который не стартует сессию до аутентификации.
                  0

                  Зачем лечить сифилис если можно просто каждый раз принимать антибиотики? Презервативы для слабаков.

                    0

                    Перечитал свой же комментарий — я имел ввиду "Зачем предохраняться от сифилиса, если можно каждый раз принимать антибиотики".
                    Ох как вредно писать комментарии сонным.

                  0
                  Видимо этим

                  Самое вероятное слабый пароль.
                  Для данной дыры, официально, эксплойта пока нет.
                  +4
                  VPN городить
                  — ИМЕННО через VPN!!!
                  Зачем его лечить непонятно.
                  Это еще одна болезнь админов, не делать или не там хранить бекапы. Бекапы тоже пошифровались ибо проникли на сервер.
                  Нормально настраивать надо безопасность сервера
                  данный эксплоит как обезопасить, на то она и уязвимость.
                    0
                    Прямая ссылка на скачку патча для — Windows Server 2008 R2 for x64-based Systems Service Pack 1
                    Для Windows 7 for x64-based Systems Service Pack 1 даёт скачать тот же файл.
                      0
                      Странно, что по WSUS ничего не пришло, хотя уже 15.05.
                        0
                        Все обновления видны и раздаются клиентам
                          0
                          Не все. Обновление для XP нужно скачивать и ставить руками.
                            0
                            Можно, конечно, и вручную, но лучше его импортировать во WSUS и ставить автоматически.
                        0
                        Не плюйтесь, пожалуйста, но.
                        Указано, что и ХРюха в обойму попала.
                        А вот патча под хрюху на www.catalog.update.microsoft.com/Search.aspx?q=KB4499175 как то не видно.
                        У кого нибудь есть ссыль?
                        0
                        Хм, а в ежемесячный набор исправлений для Win7 данный патч входит? А то кроме этого набора ничего сегодня мне в систему не прилетело.
                          0
                          Входит, по информации с сайта МС. Более того: я отдельно не нашёл этот патч, хотя не особо искал: мне МС предложил сразу скачать месячный апдейт, что я и сделал.
                          0
                          Интересно, почему такая разница в пробиве.
                          Race condition?
                            0
                            А что, кто-то ещё выставляет RDP в «дикий интернет», без VPN? o_O
                              0

                              Есть еще и админы которые не делают бекапы.

                                0
                                Ну это «извините, а вы точно админы?»
                                  0
                                  Да, именно это. Сейчас в IT лезут все кому не лень, вот и результат.
                              0
                              Это насколько же надо быть смелым, чтобы вывалить RDP голой ж*й наружу, а как же белые списки доступа по ip, а как же VPN, а как же RDP Gateway. Тут и без уязвимости будут постоянно учетки блокироваться, потому как сканирование портов на всех белых ip идет не останавливаясь не на секунду.

                              Only users with full accounts can post comments. Log in, please.