Удаленное выполнение произвольного кода в протоколе RDP +67





Стало известно об опасной уязвимости в протоколе RDP: корпорация Microsoft подготовила экстренный патч для уязвимости с идентификатором CVE-2019-0708, позволяющей выполнить произвольный код на целевой системе.

Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов (ранее они назывались службами терминалов), когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить произвольный код в целевой системе.

The vulnerability (CVE-2019-0708) resides in the “remote desktop services” component built into supported versions of Windows, including Windows 7, Windows Server 2008 R2, and Windows Server 2008. It also is present in computers powered by Windows XP and Windows 2003, operating systems for which Microsoft long ago stopped shipping security updates.

Чтобы воспользоваться уязвимостью, злоумышленнику необходимо отправить специально созданный запрос службе удаленных рабочих столов целевых систем через RDP.

Интересным является тот факт, что эту или схожую уязвимость продавали в «даркнете» как минимум с сентября прошлого года:

SELLER, [30.09.18 12:54]
RDP RCE Exploit

description:
This is a bug in RDP protocol.
That means you may exploit any Windows remotely who enables RDP.

vulnerability type:
Heap overflow

affected versions:
Windows 2000/XP/2003/Vista/7/2008(R2)

privilege level obtained:
SYSTEM privilege

reliability:
90% for one core / 30% for multiple core

exploitation length:
around 10 seconds

Possible buyer, [30.09.18 12:58]
affected versions:
Windows 2000/XP/2003/Vista/7/2008(R2)
LOL

Possible buyer, [30.09.18 12:58]
is it pre-auth or post-auth vuln?

SELLER, [30.09.18 12:59]
Pre

Possible buyer, [30.09.18 12:59]
for how much they/he/she sells it?

SELLER, [30.09.18 12:59]
500

SELLER, [30.09.18 12:59]
Shared

Possible buyer, [30.09.18 12:59]
500k USD?

SELLER, [30.09.18 13:00]
So u can guess it was sold few times

SELLER, [30.09.18 13:00]
Yes
Эксплуатация этой уязвимости дает возможность написания вредоносного ПО, аналогичного WannaCry, обнаруженного ровно 2 года назад.
This vulnerability is pre-authentication and requires no user interaction. In other words, the vulnerability is ‘wormable’, meaning that any future malware that exploits this vulnerability could propagate from vulnerable computer to vulnerable computer in a similar way as the WannaCry malware spread across the globe in 2017.
Уязвимость настолько серьёзная, что Microsoft выпустила патчи даже для неподдерживаемых версий ОС — Windows XP и Windows 2003.

Вы можете помочь и перевести немного средств на развитие сайта

Теги:

rce, RDP


Комментарии (31):

  1. Infra_HDC
    /#20154014

    Что-то не прилетает. К тому же, нет указания ни на ссылки, по которым скачать директом, ни номера KB. Странно всё это.

    • xxxkms
      /#20154068

      В первом предложении статьи ссылка вообще то.

  2. savostin
    /#20154566

    Ох и ценник, жесть…

    • VANSCoder
      /#20156768

      Если грузить крипто-локер то окупаемость меньше месяца.

  3. slonopotamus
    /#20154678 / +1

    Всё-таки, уязвимость не в протоколе, а в его реализации в Windows.

  4. claymen
    /#20155090

    Вот все выходные лечили другу шифровальщика…
    Проникли через проброшенный порт RDP на сервер…
    Видимо этим
    Просили 1500 $ (спасибо @thyrex c safezone.cc)
    «Вы всё еще пробрасываете порты на RDP мы уже идем к вам» (С)
    Сколько говоришь что низя… Но много стало админов кому это оч сложно объяснить…

    • Jump
      /#20155230 / +1

      Это почему нельзя порты пробрасывать?
      А как тогда- напрямую белый адрес на сервер терминалов? Или VPN городить?
      Нормально настраивать надо безопасность сервера, в том числе и RDP подключений.
      А порты пробрасывать это нормально!

      А вообще шифровальщиков не лечат — просто восстанавливают из бэкапа систему и работают дальше.
      Зачем его лечить непонятно.

      • DaemonGloom
        /#20155636

        Исторически, для RDP используется VPN-туннель в качестве разумной меры предосторожности. Слишком часто всплывали в этом деле уязвимости, чтобы выставлять данную часть просто в интернет.
        А с лечением — если гадость попала на ваш сервер, а прочие доступны по тому же RDP уже с него — вам пошифруют и их. И не важны становятся ваши пароли, политики и прочее.

      • chupasaurus
        /#20156974

        Помимо VPN есть RDP-шлюз под IIS, который не стартует сессию до аутентификации.

      • kprohorow
        /#20158756

        Зачем лечить сифилис если можно просто каждый раз принимать антибиотики? Презервативы для слабаков.

        • kprohorow
          /#20159186

          Перечитал свой же комментарий — я имел ввиду "Зачем предохраняться от сифилиса, если можно каждый раз принимать антибиотики".
          Ох как вредно писать комментарии сонным.

    • andreyle
      /#20155768

      Видимо этим

      Самое вероятное слабый пароль.
      Для данной дыры, официально, эксплойта пока нет.

  5. claymen
    /#20155506

    VPN городить
    — ИМЕННО через VPN!!!
    Зачем его лечить непонятно.
    Это еще одна болезнь админов, не делать или не там хранить бекапы. Бекапы тоже пошифровались ибо проникли на сервер.
    Нормально настраивать надо безопасность сервера
    данный эксплоит как обезопасить, на то она и уязвимость.

  6. LESHIY_ODESSA
    /#20155710

    Прямая ссылка на скачку патча для — Windows Server 2008 R2 for x64-based Systems Service Pack 1
    Для Windows 7 for x64-based Systems Service Pack 1 даёт скачать тот же файл.

  7. FrankSinatra
    /#20156056

    Странно, что по WSUS ничего не пришло, хотя уже 15.05.

    • LeoXX
      /#20156924

      Все обновления видны и раздаются клиентам

      • khim
        /#20158444

        Не все. Обновление для XP нужно скачивать и ставить руками.

        • Taciturn
          /#20159354

          Можно, конечно, и вручную, но лучше его импортировать во WSUS и ставить автоматически.

  8. pascvilant
    /#20156218

    Не плюйтесь, пожалуйста, но.
    Указано, что и ХРюха в обойму попала.
    А вот патча под хрюху на www.catalog.update.microsoft.com/Search.aspx?q=KB4499175 как то не видно.
    У кого нибудь есть ссыль?

  9. Gaikotsu
    /#20156540

    Хм, а в ежемесячный набор исправлений для Win7 данный патч входит? А то кроме этого набора ничего сегодня мне в систему не прилетело.

    • crlam0
      /#20158930

      Входит, по информации с сайта МС. Более того: я отдельно не нашёл этот патч, хотя не особо искал: мне МС предложил сразу скачать месячный апдейт, что я и сделал.

  10. ormoulu
    /#20156938

    Интересно, почему такая разница в пробиве.
    Race condition?

  11. fdroid
    /#20157694

    А что, кто-то ещё выставляет RDP в «дикий интернет», без VPN? o_O

    • kprohorow
      /#20158760

      Есть еще и админы которые не делают бекапы.

      • fdroid
        /#20159200

        Ну это «извините, а вы точно админы?»

        • kprohorow
          /#20159400

          Да, именно это. Сейчас в IT лезут все кому не лень, вот и результат.