Vulnerabilidade RDP permite controle da sessão remota por hacker. O patch de Microsoft deste mês na terça-feira incluiu mais de 70 patches, 15 dos quais foram marcados como críticos e que poderiam explorar a autenticação no Microsoft Remote Desktop Protocol.
A Microsoft lançou atualizações para produtos, incluindo ASP.NET Core, .NET Core, PowerShell Core, ChakraCore, Microsoft Office, Microsoft Office Services, Web Apps, Internet Explorer, Microsoft Edge, Microsoft Windows e Microsoft Exchange Server. No entanto, um dos mapeamentos mais significativos foi a vulnerabilidade no protocolo Credential Security Provider (CredSSP) da Microsoft que poderia permitir que um hacker ganhasse o controle de um servidor de domínio e outros sistemas na rede.
A vulnerabilidade afeta todas as versões do Windows até o momento (começando com o Windows Vista) e os pesquisadores do Preempt descobriram que um invasor poderia explorar a falha em um ataque man-in-the-middle que lhes permitiria abusar do protocolo e executar o código remoto no servidor comprometido em nome de um usuário.
“Esta vulnerabilidade é um grande problema, embora nenhum ataque tenha sido detectado até o momento, existem algumas situações do mundo real onde os ataques podem ocorrer“, disse Roman Blachman, CTO e co-fundador da Preempt em um comunicado de imprensa de 13 de março . “Garantir que suas estações de trabalho sejam corrigidas é o primeiro passo lógico para prevenir essa ameaça“.
Os pesquisadores da Preempt descobriram e relataram esta vulnerabilidade de execução de código remoto anteriormente desconhecida para a Microsoft em agosto do ano passado, mas a Microsoft emitiu uma correção para o protocolo hoje como parte de sua versão Patch Tuesday – quase após 7 meses de relatórios.
O vídeo abaixo, produzido pela Preempt fornece uma visão geral da vulnerabilidade, bem como demonstra como ela pode ser explorada.
font: Preempt
Nathan Wenzler, estrategista-chefe de segurança da AsTech, chamou a vulnerabilidade de um exemplo de quão perigoso pode ser confiar em ferramentas de segurança ou administração sem realizar configurações de hardening.
“O RDP é uma ferramenta amplamente utilizada, mas, como mostra esta explicação, um ataque do Man-in-the-Middle torna o uso desta ferramenta especialmente perigoso se o usuário estiver logado com uma credencial de administrador de qualquer tipo“, disse Wenzler. “É claro que a Microsoft tem a obrigação de garantir que a vulnerabilidade seja corrigida, o que está fazendo, mas é imperativo que os administradores e os profissionais de segurança estejam fazendo mais para reduzir a quantidade de acesso privilegiado que seus administradores possuem, que ferramentas como o RDP estão desabilitadas se eles não estão sendo usados e fazendo o o máximo para limitar a quantidade de exposição no nível de administrador que um invasor pode comprometer em qualquer lugar ao longo da cadeia e, em seguida, usar para causar estragos no resto da rede “.
A exploração da vulnerabilidade pode significar um perigo ainda muito maior para a empresa se outros controles não estiverem sendo amplamente utilizados, como por exemplo o controle de usuários privilegiados mencionado. A limitação de uso de usuários privilegiados em acessos externos na organização é amplamente utilizado para suporte remoto em períodos extraordinários e em casos de emergências, no entanto controle de acesso por túneis de VPN ponto-a-ponto podem ser uma solução para esconder o trafego RDP que passa pela internet até chegar na empresa.
A Microsoft também lançou patch de correção para falha de execução de código remoto no Windows Shell, que exige que o usuário faça o download e abra um arquivo mal-intencionado para explorá-lo, juntamente com as patches Meltdown e Specter que cobrem as versões de 32 bits do Windows 7 e 8.1, bem como o Server 2008 e 2012.
Veja também:
- Entendendo os ataques Multigigabit usando memcached
- ArcSight, QRadar e Splunk: Qual o Melhor SIEM?
- Menos da metade dos alvos de ransomware que pagaram o resgate obtiveram seus arquivos de volta
- Samba lança correção para vulnerabilidade que permite alterar senhas de usuários Admin
- Registrado novo recorde em ataques DDoS de 1,71 Terabit utilizando memcached
- Como alinhar o DRP ao PCN
- CASB – Você sabe o que é?
- Restaurantes da Applebee’s são afetados por malware de cartão no POS
- Aumento do uso de memcached põe Brasil na rota de ataques DDOS
- Malware enviado por Word não usa macro para infecção e passa pelos sistemas de proteções tradicionais
- Webinar: Uma bala de prata para ataques Zero-Day e Ransomware
- Verizon apresenta pesquisa sobre Segurança Móvel
Fonte: Preempt & SC Magazine
Deixe sua opinião!