Уязвимость удаленного выполнения кода в службах удаленного рабочего стола из-за некорректной обработки подключений
Описание
Уязвимость удаленного выполнения кода существует в службах удаленного рабочего стола (ранее известных как службы терминалов) при подключении злоумышленника к целевой системе через RDP и отправке специально сформированных запросов. Эта уязвимость проявляется до аутентификации и не требует взаимодействия с пользователем. Успешно воспользовавшись этой уязвимостью, злоумышленник способен выполнить произвольный код на целевой системе, что позволяет ему устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя.
Условия эксплуатации
Для эксплуатации этой уязвимости злоумышленнику необходимо отправить специально сформированный запрос службе удаленного рабочего стола на целевой системе через RDP.
Решение
Обновление устраняет уязвимость, корректируя обработку запросов на подключение службой удаленного рабочего стола.
Способы защиты
Microsoft настоятельно рекомендует установить обновления для этой уязвимости как можно скорее, даже если вы планируете оставить службу удаленного рабочего стола отключенной:
- Отключите службы удаленного рабочего стола, если они не требуются. Если эти службы больше не нужны на вашей системе, рассмотрите возможность их отключения как одну из лучших практик безопасности. Отключение неиспользуемых и ненужных служб помогает уменьшить уязвимость системы.
Обходные пути
Microsoft рекомендует установить обновления для этой уязвимости как можно скорее, даже если вы планируете оставить обходные пути в действии:
-
Включите аутентификацию на уровне сети (NLA). Она блокирует неавторизованных злоумышленников от эксплуатации уязвимости, требуя сначала аутентификации с использованием действительного аккаунта на целевой системе.
-
Заблокируйте порт TCP 3389 на периферийном межсетевом экране предприятия. Этот порт используется для установления соединения с уязвимым компонентом. Блокировка этого порта поможет защитить системы за межсетевым экраном от попыток эксплуатации уязвимости, особенно аттак из-за пределов корпоративной сети.
Часто задаваемые вопросы (FAQ)
Как получить обновление для Microsoft Remote Desktop для iOS?
- Нажмите на значок Настройки.
- Выберите iTunes & App Store.
- Включите автоматическую загрузку для приложений.
Альтернативно:
- Нажмите на значок App Store.
- Прокрутите вниз, чтобы найти Microsoft Remote Desktop.
- Нажмите кнопку Обновить.
Я использую Windows 7 Service Pack 1 или Windows Server 2008 R2 Service Pack 1. Есть ли дополнительная информация?
Эти операционные системы затрагивает данная уязвимость только если установлены RDP 8.0 или RDP 8.1. Если у вас не установлены эти версии RDP, то ваша система не затронута уязвимостью.
Как получить обновление для Microsoft Remote Desktop для Android?
- Нажмите на значок Google Play на главном экране.
- Проведите пальцем от левого края экрана.
- Выберите Мои приложения и игры.
- Нажмите кнопку Обновить рядом с приложением Remote Desktop.
Как получить обновление для Microsoft Remote Desktop для Mac?
- Откройте Mac App Store.
- Найдите Microsoft Remote Desktop.
- Скачайте обновление. Версия 10.4.1 содержит обновление безопасности, которое устраняет эту уязвимость.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2012 | ||
| Windows Server 2012 (Server Core installation) | ||
| Windows 8.1 for 32-bit systems | ||
| Windows 8.1 for x64-based systems | ||
| Windows Server 2012 R2 | ||
| Windows RT 8.1 | - | |
| Windows Server 2012 R2 (Server Core installation) | ||
| Windows 10 for 32-bit Systems | ||
| Windows 10 for x64-based Systems | ||
| Windows Server 2016 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
9.8 Critical
CVSS3
Связанные уязвимости
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit this vulnerability, an attacker would need to send a specially crafted request to the target systems Remote Desktop Service via RDP. The update addresses the vulnerability by correcting how Remote Desktop Services handles connection requests.
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests, aka 'Remote Desktop Services? Remote Code Execution Vulnerability'. This CVE ID is unique from CVE-2019-1182, CVE-2019-1222, CVE-2019-1226.
Уязвимость службы удаленного рабочего стола Remote Desktop Services (RDS) операционных систем Windows, позволяющая нарушителю выполнить произвольный код
Уязвимость службы удаленного рабочего стола Remote Desktop Services (RDS) операционных систем Windows, позволяющая нарушителю выполнить произвольный код
EPSS
9.8 Critical
CVSS3