В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue

    Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой системе.



    Cогласно информации, предоставленной компанией Microsoft, для успешной эксплуатации необходимо лишь иметь сетевой доступ к хосту или серверу с уязвимой версией операционной системы Windows. Таким образом, в случае если системная служба опубликована на периметре, уязвимость можно проэксплуатировать непосредственно из сети интернет, без дополнительного способа доставки. Рекомендации по мерам защиты под катом.

    На данный момент уязвимость актуальна для нескольких десятков организаций в России и более 2 млн организаций в мире, а потенциальный ущерб от промедления в оперативном реагировании и принятии защитных мер будет сравним с ущербом, нанесённым уязвимостью в протоколе SMB CVE-2017-0144 (EternalBlue).



    Для эксплуатации этой уязвимости, злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).

    Важно отметить, что любое вредоносное ПО, использующее эту уязвимость, может распространяться с одного уязвимого компьютера на другой аналогично шифровальщику WannaCry, распространившемуся по всему миру в 2017 году.

    Версии ОС Windows, подверженные уязвимости:

    Windows 7 for 32-bit Systems Service Pack 1
    Windows 7 for x64-based Systems Service Pack 1
    Windows Server 2008 for 32-bit Systems Service Pack 2
    Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
    Windows Server 2008 for Itanium-Based Systems Service Pack 2
    Windows Server 2008 for x64-based Systems Service Pack 2
    Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
    Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
    Windows Server 2008 R2 for x64-based Systems Service Pack 1
    Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation
    Windows XP SP3 x86
    Windows XP Professional x64 Edition SP2
    Windows XP Embedded SP3 x86
    Windows Server 2003 SP2 x86
    Windows Server 2003 x64 Edition SP2

    Рекомендуем оперативно:

    1. В случае ранее опубликованного сервиса RDP на внешнем периметре для уязвимой ОС — закрыть этот доступ до устранения уязвимости.
    2. Установить необходимые обновления ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры: патч для Windows 7, Windows 2008, Windows XP, Windows 2003.

    Возможные дополнительные компенсирующие меры:

    1. Включение проверки подлинности на уровне сети (NLA). Однако, уязвимые системы по-прежнему останутся уязвимыми для использования удаленного выполнения кода (RCE), если у злоумышленника имеются действительные учетные данные, которые можно использовать для успешной аутентификации.
    2. Выключение протокола RDP до момента обновления и использование альтернативных способов доступа к ресурсам.
    Ростелеком-Solar
    227.53
    Безопасность по имени Солнце
    Share post

    Comments 30

      0
      Прав простого пользователя или гостя достаточно?
        +4
        Судя по описанию аутентификация не требуется, атака происходит на стадии рукопожатия. Успокаивает, что все системы устаревшие (у меня таких уже давно нету)
          0
          В том то и дело что WS2008R2 ещё ой как много где используется (сужу по своему парку)
            0
            Каждый судит о мире по себе. Но и 2008 не беда. Как я понимаю инфа об уязвимости из внутреннего оборота м-компании пришла, а значит и заплатки готовы.
        +6
        Уже вторая заплатка для ХР после окончания поддержки. Майкрософт — молодец.
          0
          Мало ли, может у них самих кто-то где-то использует ХР и не желает ставить другую ось. Ну и патчи уязвимостей делает под неё, а потом делится.
            +4

            У них самих вряд-ли, а вот какой-нибудь клиент с расширенной, в рамках отдельного договора, поддержкой думаю есть — например какой-нибудь банк с большим парком банкоматов.

          0

          О, а мне прислали на почту "у вас открыт RDP-порт на сервере, это опасно, спрячьте его за VPN"
          VPS, между тем, вообще на убунте крутился, но теперь понятно почему вообще предупреждали

            0
            Это хостер прислал или кто?
              0

              Ну, письмо получил я от хостера, да

            –1

            А у меня другая запара случилась с Йотой: при попытке скачать обновы телефоном оператор блочит инет типа якобы я его раздаю.
            После животрепещущец переписки с саппортом они так на прямую и сказали: блокировка "не харатктерного трафика для мобильного телефона сработала корректно". Хотя сначала морозились, что мол это я раздаю на комп с виндой инет. Ну хоть восстановили, редиски.

              0
              Именно так они и определяют, что пользователь раздаёт интернет и именно поэтому инструкции со сменой TTL давно уже не работают
                0

                Возрадуйтесь, походу исправили (надеюсь это не только у менч теперь можно качать обновы):
                15-05 22:01
                Уважаемый клиент! Для решения заявки 31015915  нам потребуется дополнительное время, до 5 дней. Приносим извинения за неудобства. Ваша Yota.
                16-05 14:49
                Уважаемый клиент!
                Работы по заявке завершены.
                Произведены настройки на сети, проблема с некорректным отображением режима модема устранена.
                Приносим извинения за доставленные неудобства.
                Ваша Yota.


                Проверил: обновы скачались без происшествий.

                  0
                  Я на телефоне запускаю VPN, тогда не палят, ну и на самом компьютере тоже, до кучи
                0
                Прямая ссылка на скачку патча для — Windows Server 2008 R2 for x64-based Systems Service Pack 1
                Для Windows 7 for x64-based Systems Service Pack 1 даёт скачать тот же файл.
                  0
                  И?
                  В чём проблема?
                    0
                    Эти ОС на одном ядре, ничего удивительного.
                      0
                      Я в курсе, это для тех кто не знает.
                    0

                    Интересно, реально ли уязвимость отсутствует в более новых версиях, или же она просто замаскирована и эксплуатируется иначе.

                      +3
                      Уязвимость серьёзная, но уровнем EternalBlue не пахнет:
                      1. Неизвестно сколько из этих 2,3кк торчащих в инет узлов защищены NLA.
                      2. В отличие от SMB, RDP по-умолчанию выключен в системе.
                        0
                        1. Да, вы правы, но из нашей практики крайне редко публикация административных портов в интернет гармонизируется с политиками информационной безопасности. Также стоит учитывать, что при публикации сервисов администраторы часто перевешивают их на нестандартные порты, поэтому скриншот показывает ещё и неполную картину.

                        2. В корпоративной среде, которая может стать наиболее вероятным источником атаки, RDP включается почти везде.
                          +1
                          1. А что если эксплойт прикрутят к шифровальщику и запустят внутрь сети? Wannacry тоже зачастую не пробивался снаружи в корп сеть. Достаточно одного сотрудника с письмом «счастья».
                          2. «RDP по-умолчанию выключен в системе» — разве? Насколько я знаю, то совсем наоборот. Если речь о том, что доступ разрешен только админам, то для этой уязвимости это не важно, главное, что служба работает/порт доступен.
                            0
                            «RDP по-умолчанию выключен в системе» — разве?
                            Да, настройка выставлена в положение «Не разрешать удаленные подключения к этому компьютеру». Разрешен по умолчанию удаленный помощник.
                              0
                              «Не разрешать удаленные подключения к этому компьютеру» не значит, что служба выключена и порт закрыт. Значит система уязвима. Согласно рекомендации MS должна быть выключена служба:
                              1. Disable Remote Desktop Services if they are not required.
                              If you no longer need these services on your system, consider disabling them as a security best practice. Disabling unused and unneeded services helps reduce your exposure to security vulnerabilities.
                                0
                                По умолчанию порт закрыт, специально сейчас проверил в виртуалке в голой W7.
                                  0
                                  Короче, я уж думал чего-то не понимаю. Поэтому заморочился и поставил чистую win7, вот результаты:

                                  ibb.co/xFzgwnW
                                  ibb.co/KFbY04D

                                  Как я и говорил, RDP по-умолчанию выключен.
                                    0
                                    windows 7 — может, а на серверах rdp тоже по умолчанию у вас закрыт?
                                      0
                                      С сайта майков:

                                      By default, Remote Desktop for Administration is installed when Windows Server 2003 is installed. However, Remote Desktop for Administration is disabled for security reasons.

                                        0
                                        Ребят, ну серьезно, причем тут настройка по умолчанию и продуктивная среда с сотнями-тысячями серверов… тут GPO рулит. А RDP — основной протокол удаленного управления виндой.
                            +6
                            блочит инет типа якобы я его раздаю.
                            За такие тарифы предусмотрен отдельный котёл в аду, без права раздачи кипящей серы другим грешникам.

                            Only users with full accounts can post comments. Log in, please.