Уязвимость утечки информации в сервере удаленного рабочего стола Windows из-за некорректной инициализации памяти
Описание
Злоумышленник, успешно использующий эту уязвимость, способен получить информацию для дальнейшей компрометации системы.
Условия эксплуатации
Для эксплуатации этой уязвимости злоумышленник должен установить удаленное подключение к системе и запустить специально разработанное приложение.
Решение
Обновление безопасности устраняет уязвимость, корректируя способ инициализации памяти сервером Windows RDP.
Меры защиты
Следующие меры защиты могут быть полезными в вашей ситуации. Во всех случаях Microsoft настоятельно рекомендует установить обновления для этой уязвимости как можно скорее, даже если вы планируете отключить службы удаленного доступа:
- Отключите службы удаленного рабочего стола, если они не требуются. Если данные службы больше не нужны на вашей системе, рассмотрите возможность их отключения как лучшую практику безопасности. Отключение неиспользуемых и ненужных служб помогает снизить уязвимость системы.
Альтернативные меры
Следующие альтернативные меры могут быть полезными в вашей ситуации. Во всех случаях Microsoft настоятельно рекомендует установить обновления для этой уязвимости, даже если вы планируете оставить альтернативные меры:
-
Включите аутентификацию уровня сети (NLA). Вы можете включить аутентификацию уровня сети для блокировки неавторизованных злоумышленников от эксплуатации этой уязвимости. При включенной NLA злоумышленник должен сначала авторизоваться в службах удаленного рабочего стола, используя валидный аккаунт на целевой системе, прежде чем сможет использовать уязвимость.
-
Заблокируйте TCP порт 3389 на периметре корпоративного файрвола. TCP порт 3389 используется для инициирования подключения с уязвимым компонентом. Блокировка этого порта на периметре сетевого файрвола поможет защитить системы, находящиеся за ним, от попыток эксплуатации уязвимости, что может помочь защитить сети от атак, исходящих из-за пределов корпоративного периметра. Однако системы все еще могут быть уязвимы для атак изнутри корпоративного периметра.
Часто задаваемые вопросы (FAQ)
Какой тип информации может быть раскрыт вследствие этой уязвимости?
Тип информации, который способен быть раскрыт, если злоумышленник успешно использует уязвимость, это неинициализированная память.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 10 Version 1803 for 32-bit Systems | ||
| Windows 10 Version 1803 for x64-based Systems | ||
| Windows Server, version 1803 (Server Core Installation) | ||
| Windows 10 Version 1803 for ARM64-based Systems | ||
| Windows 10 Version 1809 for 32-bit Systems | ||
| Windows 10 Version 1809 for x64-based Systems | ||
| Windows 10 Version 1809 for ARM64-based Systems | ||
| Windows Server 2019 | ||
| Windows Server 2019 (Server Core installation) | ||
| Windows 10 Version 1903 for 32-bit Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
7.5 High
CVSS3
Связанные уязвимости
An information disclosure vulnerability exists when the Windows RDP server improperly discloses the contents of its memory. An attacker who successfully exploited this vulnerability could obtain information to further compromise the system. To exploit this vulnerability, an attacker would have to connect remotely to an affected system and run a specially crafted application. The security update addresses the vulnerability by correcting how the Windows RDP server initializes memory.
An information disclosure vulnerability exists when the Windows RDP server improperly discloses the contents of its memory, aka 'Remote Desktop Protocol Server Information Disclosure Vulnerability'. This CVE ID is unique from CVE-2019-1224.
Уязвимость RDP-сервера операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию
EPSS
7.5 High
CVSS3