Уязвимость утечки информации в сервере Remote Desktop Protocol (RDP) из-за некорректной инициализации памяти в сервере
Описание
Злоумышленник, способный успешно использовать эту уязвимость, получает возможность извлечь информацию для дальнейшей компрометации системы.
Условия эксплуатации
Для эксплуатации этой уязвимости злоумышленник должен удаленно подключиться к уязвимой системе и запустить специально разработанное приложение.
Решение
Обновление безопасности устраняет эту уязвимость путем корректировки способа инициализации памяти сервером Windows RDP.
Способы защиты
Рекомендации по защите помогут в вашей ситуации. Во всех случаях Microsoft настоятельно рекомендует установить обновления безопасности для этой уязвимости как можно скорее, даже если вы планируете оставить службы удаленного рабочего стола отключенными:
-
Отключите службы удаленного рабочего стола, если они не требуются.
Если эти службы больше не нужны на вашей системе, рассмотрите возможность их отключения как лучшую практику в области безопасности. Отключение неиспользуемых и ненужных служб помогает уменьшить вероятность возникновения проблем с безопасностью.
Временные решения
Временные решения могут быть полезными. Microsoft настоятельно рекомендует установить обновления безопасности для этой уязвимости как можно скорее, даже если вы оставляете в силу эти временные обходные решения:
-
Включите аутентификацию на уровне сети (NLA)
Включив аутентификацию на уровне сети, можно заблокировать неавторизованных злоумышленников от эксплуатации уязвимости. При включенной NLA злоумышленник должен сначала авторизоваться в службах удаленного рабочего стола, используя действительную учетную запись на целевой системе, прежде чем сможет эксплуатировать уязвимость.
-
Заблокируйте TCP порт 3389 на сетевом пограничном фаерволе предприятия
Порт TCP 3389 используется для установления соединения с уязвимым компонентом. Блокируя этот порт на сетевом пограничном фаерволе, можно защитить системы за этим фаерволом от попыток эксплуатации уязвимости. Это помогает защитить сети от атак, исходящих за пределами периметра предприятия. Однако системы могут все еще быть уязвимыми для атак внутри их периметра предприятия.
Часто задаваемые вопросы (FAQ)
Какой тип информации может быть раскрыт через эту уязвимость?
Тип информации, которая может быть раскрыта при успешной эксплуатации этой уязвимости, — это неинициализированная память.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 10 Version 1803 for 32-bit Systems | ||
| Windows 10 Version 1803 for x64-based Systems | ||
| Windows Server, version 1803 (Server Core Installation) | ||
| Windows 10 Version 1803 for ARM64-based Systems | ||
| Windows 10 Version 1809 for 32-bit Systems | ||
| Windows 10 Version 1809 for x64-based Systems | ||
| Windows 10 Version 1809 for ARM64-based Systems | ||
| Windows Server 2019 | ||
| Windows Server 2019 (Server Core installation) | ||
| Windows 10 Version 1903 for 32-bit Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
7.5 High
CVSS3
Связанные уязвимости
An information disclosure vulnerability exists when the Windows RDP server improperly discloses the contents of its memory. An attacker who successfully exploited this vulnerability could obtain information to further compromise the system. To exploit this vulnerability, an attacker would have to connect remotely to an affected system and run a specially crafted application. The security update addresses the vulnerability by correcting how the Windows RDP server initializes memory.
An information disclosure vulnerability exists when the Windows RDP server improperly discloses the contents of its memory, aka 'Remote Desktop Protocol Server Information Disclosure Vulnerability'. This CVE ID is unique from CVE-2019-1225.
Уязвимость RDP-сервера операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию
EPSS
7.5 High
CVSS3