Уязвимость удаленного выполнения кода в Remote Desktop Services из-за некорректной обработки специально сформированных запросов
Описание
Уязвимость удаленного выполнения кода существует в Remote Desktop Services (ранее известных как Terminal Services) при подключении злоумышленника к целевой системе с помощью RDP и отправке специально сформированных запросов. Эта уязвимость доступна до аутентификации и не требует взаимодействия с пользователем. Злоумышленник, успешно использующий эту уязвимость, способен выполнить произвольный код на целевой системе. Это позволяет злоумышленнику устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными пользовательскими правами.
Условия эксплуатации
Для использования этой уязвимости злоумышленнику необходимо отправить специально сформированный запрос на службу Remote Desktop Service целевой системы через RDP.
Решение
Обновление исправляет уязвимость, корректируя обработку запросов на соединение службой Remote Desktop Services.
Меры защиты
Microsoft настоятельно рекомендует установить обновления для этой уязвимости как можно скорее, даже если вы планируете отключить Remote Desktop Services:
- Отключите Remote Desktop Services, если они не требуются. Если эти службы больше не нужны вашей системе, рассмотрите возможность их отключения как лучшую практику безопасности. Отключение неиспользуемых и ненужных служб помогает снизить ваш риск быть подверженным уязвимостям безопасности.
Часто задаваемые вопросы (FAQ)
Как можно предотвратить эксплуатацию уязвимости, если обновления еще не установлены?
- Включение аутентификации на уровне сети (NLA). Включив NLA, злоумышленнику сперва необходимо авторизоваться в Remote Desktop Services с использованием корректной учетной записи на целевой системе, прежде чем он сможет использовать уязвимость.
- Заблокируйте порт TCP 3389 на сетевом периметре. Порт TCP 3389 используется для инициирования соединения с уязвимым компонентом. Блокировка этого порта на сетевом периметре поможет защитить системы, находящиеся за этим брандмауэром, от попыток эксплуатации этой уязвимости. Это является лучшей защитой от атак, исходящих извне сетевого периметра. Однако системы все равно остаются уязвимыми для атак из внутренней сети.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows 10 Version 1803 for 32-bit Systems | ||
| Windows 10 Version 1803 for x64-based Systems | ||
| Windows Server, version 1803 (Server Core Installation) | ||
| Windows 10 Version 1803 for ARM64-based Systems | ||
| Windows 10 Version 1809 for 32-bit Systems | ||
| Windows 10 Version 1809 for x64-based Systems | ||
| Windows 10 Version 1809 for ARM64-based Systems | ||
| Windows Server 2019 | ||
| Windows Server 2019 (Server Core installation) | ||
| Windows 10 Version 1903 for 32-bit Systems |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
9.8 Critical
CVSS3
Связанные уязвимости
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. To exploit this vulnerability, an attacker would need to send a specially crafted request to the target systems Remote Desktop Service via RDP. The update addresses the vulnerability by correcting how Remote Desktop Services handles connection requests.
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests, aka 'Remote Desktop Services? Remote Code Execution Vulnerability'. This CVE ID is unique from CVE-2019-1181, CVE-2019-1182, CVE-2019-1222.
EPSS
9.8 Critical
CVSS3