Поторопитесь с патчем
Корпорация Microsoft планирует блокировать попыткиRDP-соединения (протокол удаленного рабочего стола) с серверами под управлениемWindows Server со стороны клиентов, которые не установили патч к недавноисправленной уязвимости.
Дело касается уязвимости CVE-2018-0886, исправленной внедавнем обновлении для Windows. Уязвимость в протоколе Credential SecuritySupport Provider (CredSSP — провайдер поддержки безопасности учетных данных)допускала удаленный запуск произвольного кода на уязвимой системе. Ошибка быласвязана с тем, как CredSSP обрабатывал запросы на авторизацию. Иными словами,хакер с помощью атаки «человек посередине» мог направлять серверу произвольныекоманды, выдавая себя за легитимного пользователя или даже администратора.
Уязвимость присутствовала в Microsoft Windows Server 2008 SP2 и R2 SP1, Windows 7 SP1, Windows 8.1 иRT 8.1, Windows Server 2012 и R2, Windows 10 Gold, версиях 1511, 1607, 1703, и1709 Windows Server 2016 и в Windows Server версии 1709.
Эксплуатация уязвимости
В документации к патчу написано, что мероприятия поисправлению должны включать обновление соответствующих ОС у клиентов и насервере, а также использование прилагающихся настроек групповой политики (GroupPolicy) или аналогов для работы с реестром — для управления настройками наклиентских компьютерах и на сервере. «Мы рекомендуем администраторам установитьпредложенную политику и выставить в ней значения «Принудительное обновлениеклиентов» (Force updated clients) или «Исправлено» (Mitigated)как можно скорее», — отмечают разработчики.
Значения Force Updated Clients и Mitigated подразумевают чтослужбы, использующие CredSSP, не будут принимать соединения от клиентов, укоторых не установлены обновления, в то время как клиентские приложения будетневозможно откатывать к ранним, уязвимым версиям.
Если администраторы выставят значение «уязвимый» (Vulnerable),то возможность таких соединений сохранится. Именно это значение пока остается»по умолчанию». Политика выставляется по адресу: ComputerConfiguration -> AdministrativeTemplates-> System -> CredentialsDelegation.
Реализм и жесткость
В документации упоминается также, что в апреле-мае 2018 г. Microsoftсобирается «накатывать» новые обновления, которые будут привлекать повышенноевнимание к неустановленным обновлениям — что на стороне клиента, что на сторонесервера и принудительно переведут политику групп в режим Mitigated. После этоговозможность подключения уязвимых клиентов по RDP к серверу будет заблокированаполностью.
«Microsoft дает «реалистичные» два месяца на то,чтобы установить все необходимые обновления, в том числе, к сторонним RDP-клиентам,после этого переходит к «жестким» защитным мерам, — считает Михаил Зайцев, эксперт поинформационной безопасности компании SEC Consult Services. — Подобная жесткостьсебя скорее оправдывает, чем нет; без этого установка обновлений можетзатянуться, а значит, и вероятность успешной эксплуатации повысится. Вопрос в том,сколько кибератак произойдет до того, как все обновления будут выпущены иустановлены».