Уязвимость удаленного выполнения кода в службах удаленного рабочего стола из-за некорректной обработки запросов, отправленных злоумышленником
Описание
Удаленная уязвимость выполнения кода существует в службах удаленного рабочего стола — ранее известных как службы терминалов, — когда неаутентифицированный злоумышленник подключается к целевой системе с использованием RDP и отправляет специально сформированные запросы. Эта уязвимость проявляется на этапе до аутентификации и не требует никакого взаимодействия с пользователем. Злоумышленник, успешно эксплуатировавший эту уязвимость, способен выполнить произвольный код на целевой системе и затем устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.
Условия эксплуатации
Для эксплуатации этой уязвимости злоумышленнику необходимо отправить специально сформированный запрос к службе удаленного рабочего стола на целевой системе через RDP.
Решение
Обновление, устраняющее уязвимость, корректирует способ обработки запросов на подключение службой удаленного рабочего стола.
Меры защиты
- Отключите службы удаленного рабочего стола, если они не требуются. Если вы больше не нуждаетесь в этих службах на своей системе, рассмотрите возможность их отключения как лучшую практику безопасности. Отключение неиспользуемых и ненужных служб помогает уменьшить вероятность воздействия на систему уязвимостей.
Временные решения
-
Включите проверку аутентификации на уровне сети (NLA)
Вы можете включить проверку аутентификации на уровне сети для блокировки неавторизованных злоумышленников от эксплуатации этой уязвимости. При включении NLA злоумышленнику сначала нужно будет пройти аутентификацию в службах удаленного рабочего стола, используя валидную учетную запись на целевой системе, прежде чем эксплуатировать уязвимость. -
Блокируйте TCP порт 3389 на межсетевом экране корпоративного периметра
TCP порт 3389 используется для установления соединения с уязвимым компонентом. Блокировка этого порта на межсетевом экране сетевого периметра поможет защитить системы, находящиеся за этим экраном, от попыток эксплуатации уязвимости. Это может помочь защитить сети от атак, происходящих вне корпоративного периметра. Однако системы все еще могут быть уязвимы для атак изнутри их корпоративного периметра.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 10 Version 1803 for 32-bit Systems | ||
| Windows 10 Version 1803 for x64-based Systems | ||
| Windows Server, version 1803 (Server Core Installation) | ||
| Windows 10 Version 1803 for ARM64-based Systems | ||
| Windows 10 Version 1809 for 32-bit Systems | ||
| Windows 10 Version 1809 for x64-based Systems | ||
| Windows 10 Version 1809 for ARM64-based Systems | ||
| Windows Server 2019 | ||
| Windows Server 2019 (Server Core installation) | ||
| Windows 10 Version 1903 for 32-bit Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
9.8 Critical
CVSS3
Связанные уязвимости
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit this vulnerability, an attacker would need to send a specially crafted request to the target systems Remote Desktop Service via RDP. The update addresses the vulnerability by correcting how Remote Desktop Services handles connection requests.
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests, aka 'Remote Desktop Services? Remote Code Execution Vulnerability'. This CVE ID is unique from CVE-2019-1181, CVE-2019-1182, CVE-2019-1226.
Уязвимость службы удаленного рабочего стола Remote Desktop Services (RDS) операционной системы Microsoft Windows, позволяющая нарушителю выполнить произвольный код
EPSS
9.8 Critical
CVSS3