RDP уязвимость

Encryptor

Супер-модератор
Сообщения
119
Реакции
25
Баллы
28
1*B01B7GSfXJtxxs-KnZ3Zqg.jpeg

В середине мая 2019 корпорация Microsoft заявила, что уязвимость под названием BlueKeep обнаружена в Windows XP, Windows 7 и других старых системах Windows. Тогда Microsoft выпустила патч для защиты своих пользователей от этой уязвимости выполнения удаленного кода в протоколе удаленного рабочего стола (Remote Desktop Service). По оценкам, эта уязвимость затрагивала более миллиона пользователей.

В конце июля 2019 Rapid7 сообщил о существенном всплеске вредоносной RDP-активности с момента обнаружения BlueKeep. Более того, указывалось, что для данной уязвимости существует как минимум один известный и работоспособный коммерческий эксплойт. Microsoft сообщила, что обнаружила четыре новых уязвимости в службе удаленного рабочего стола (Remote Desktop Service): CVE-2019-1181 , CVE-2019-1182 , CVE-2019-1222 и CVE-2019-1226 . Подобно BlueKeep, эти уязвимости являются червеобразными. Это означает, что вредоносная программа, которая использует данные уязвимости, может самостоятельно распространяться среди уязвимых компьютеров без вмешательства со стороны пользователя. Версии Windows, которые могут пострадать от этой уязвимости: Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 и все совместимые версии Windows 10, включая серверные версии.

Версии ОС Windows, подверженные уязвимости:

  • Windows 10 for 32-bit/x64-based
  • Windows 10 Version 1607 for 32-bit/x64-based Systems
  • Windows 10 Version 1703 for 32-bit/x64-based Systems
  • Windows 10 Version 1709 for 32-bit/x64-based Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows 10 Version 1803 for 32-bit/x64-based Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1809 for 32-bit/x64-based Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1903 for 32-bit/x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 7 for 32-bit/x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit/x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019


Опубликованные RCE-уязвимости в Службах Удаленных рабочих столов RDS в ОС Windows (CVE-2019-1181/1182) при успешной эксплуатации позволяют злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение кода на атакуемой системе. Для эксплуатации уязвимостей злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).

Для проблемы уже были созданы PoC-эксплоиты, их продемонстрировали специалисты сразу нескольких ИБ-компаний (включая McAfee, Check Point и «Лабораторию Касперского») и независимые исследователи. Пока код этих эксплоитов не был опубликован в открытом доступе из-за слишком большого риска. К тому же специалисты компании GreyNoise уже сообщили о том, что неизвестные активно сканируют интернет в поисках уязвимых систем.

Применение инструмента rdpscan доказало, что подавляющее большинство Windows-систем с включенным RDP, доступные через интернет уязвимы перед BlueKeep

Рекомендации:
  1. Установить необходимые обновления для уязвимых ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры, согласно принятым в компании процедурам управления уязвимостями:
    portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
    portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
  2. При наличии опубликованного сервиса RDP на внешнем периметре для уязвимой ОС – рассмотреть ограничение (закрытие) доступа до устранения уязвимостей.
  3. Использование альтернативных способов удаленного доступа к ресурсам.

Еще одной важной мерой защиты RDP-соединений является их перенос из прямого Интернет-канала в VPN-канал. Как пример тариф Bastion от сервиса Asguard.pro
На данном тарифе аренды VDS используется частная сеть Hamachi, в которой находятся только клиент и его сервер. Доступ к серверу открыт только через сетевой интерфейс hamachi. Для дополнительной защиты на сервере запрещен запуск исполняемых файлов, за исключением единственной папки на рабочем столе.

 
Последнее редактирование:
Верх