CVE-2019-0708

Описание

Уязвимость удаленного выполнения кода существует в Remote Desktop Services (ранее известной как Terminal Services). Злоумышленник может подключиться к целевой системе, используя RDP, и отправить специально сформированные запросы. Эта уязвимость является доаутентификационной и не требует взаимодействия с пользователем. Злоумышленник, успешно эксплуатировавший эту уязвимость, способен выполнить произвольный код на целевой системе. Затем злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными пользовательскими правами.

Условия эксплуатации

Для эксплуатации этой уязвимости злоумышленнику необходимо отправить специально сформированный запрос к службе удаленного рабочего стола целевой системы через RDP.

Решение

Обновление устраняет уязвимость, исправляя способы обработки запросов на подключение в Remote Desktop Services.

Меры защиты

• Ссылка на меры защиты

Microsoft настоятельно рекомендует установить обновления для этой уязвимости как можно скорее, даже если вы планируете оставить Remote Desktop Services отключенными:

1. Отключите Remote Desktop Services, если они не требуются.

   Если эти службы больше не нужны на вашей системе, рассмотрите возможность их отключения в качестве меры безопасности. Отключение неиспользуемых и ненужных служб помогает уменьшить вашу уязвимость к проблемам безопасности.

Обходные пути

• Ссылка на обходные пути

Microsoft настоятельно рекомендует установить обновления для этой уязвимости как можно скорее, даже если вы планируете оставить данные обходные решения:

1. Включить аутентификацию на уровне сети (NLA) на системах с поддерживаемыми версиями Windows 7, Windows Server 2008 и Windows Server 2008 R2.

   Вы можете включить аутентификацию на уровне сети, чтобы заблокировать неавторизованным злоумышленникам возможность эксплуатации уязвимости. С включенной NLA злоумышленнику сначала необходимо пройти аутентификацию, используя действительную учетную запись на целевой системе, прежде чем эксплуатировать уязвимость.

2. Заблокировать TCP порт 3389 на периметре корпоративного файрвола.

   TCP порт 3389 используется для инициирования подключения с уязвимым компонентом. Блокировка этого порта на периметре корпоративного файрвола поможет защитить системы, находящиеся за этим файрволом, от попыток эксплуатации данной уязвимости. Это может помочь защитить сети от атак, исходящих извне корпоративного периметра. Однако, системы по-прежнему могут быть уязвимы для атак изнутри корпоративного периметра.