Vulnerabilidade de execução remota de código “Wormable” crítica no Windows RDP



Vulnerabilidade de execução remota de código “Wormable” crítica no Windows RDP. Este é um importante aviso de segurança relacionado a uma vulnerabilidade de execução remota de código crítica recentemente corrigida no RDP (Serviço de Área de Trabalho Remota) do Microsoft Windows. A vulnerabilidade é identificada como “CVE-2019-0708 – Vulnerabilidade de Execução Remota de Código em Serviços de Área de Trabalho Remota”.


Esta vulnerabilidade é pré-autenticação e não requer interação do usuário. Em outras palavras, a vulnerabilidade é ‘wormable’, o que significa que qualquer malware futuro que explore esta vulnerabilidade pode se propagar de um computador vulnerável para outro computador vulnerável da mesma maneira que o malware WannaCry espalhado pelo mundo em 2017.


Embora não tenha sido notado a exploração desta vulnerabilidade, é altamente provável que os agentes maliciosos gravem uma exploração dessa vulnerabilidade e a incorporem em seu malware.


Essa vulnerabilidade é um caso especial, já que a Microsoft saiu do caminho para corrigir essa vulnerabilidade no Windows 2003 e no Windows XP, que atingiram o Fim do Suporte há muito tempo.


Segundo o site de Suporte da Microsoft , a Microsoft diz que “está ciente de que alguns clientes estão executando versões do Windows que não recebem mais suporte principal. Isso significa que esses clientes não receberão nenhuma atualização de segurança para proteger seus sistemas do CVE-2019-0708, que é uma vulnerabilidade crítica de execução remota de código.


Mas continua, “Dado o impacto potencial para os clientes e seus negócios, tomamos a decisão de disponibilizar atualizações de segurança para plataformas que não estão mais no suporte principal. Essas atualizações estão disponíveis somente no Catálogo do Microsoft Update. Recomendamos que os clientes que executam um desses sistemas operacionais baixem e instalem a atualização o mais rápido possível”.


Por que essa vulnerabilidade é tão crítica?


Pavan Thorat da Security Labs deixou os seguintes comentários e recomendações abaixo no blog Quick Heal :


1 - É uma vulnerabilidade de pré-autenticação, o que significa que não requer autenticação. Os atacantes só precisam de acesso à rede de alvo vulnerável para explorá-lo.


2 - Na exploração bem-sucedida, os invasores podem executar qualquer código arbitrário no sistema de destino e, eventualmente, assumir o controle total dele.


3 - Dada a natureza ‘wormable’ dessa vulnerabilidade, uma vez que um host é infectado, ele pode infectar outros hosts vulneráveis ​​na mesma rede muito rapidamente.


4 - A Microsoft saiu do caminho para consertá-lo em versões mais antigas do Windows, que já alcançaram o End of Support.


5 - A vulnerabilidade pode ser explorada pela porta RDP 3389. Uma pesquisa simples em www [.] Shodan [.] Io mostra que há perto de 4 milhões de hosts com porta RDP aberta à Internet.











Resultados do Shodan mostrando Hosts com porta RDP aberta à Internet

O que você deveria fazer?


De acordo com o advisory da Microsoft e outras fontes online, esta vulnerabilidade NÃO está sendo ativamente explorada no momento. Ainda assim, considerando o risco do negócio, é importante alertar aos usuários à corrigir seus sistemas imediatamente, se eles tiverem alguma das seguintes versões afetadas do Windows em uso:


- Microsoft Windows 7 SP1

- Windows Server 2008 SP2

- Windows Server 2008 R2 – SP1

- Windows XP (todas as versões)

- Windows Server 2003 SP2

Se não for possível aplicar as Atualizações de Segurança fornecidas pela Microsoft imediatamente, elas deverão considerar a desativação dos Serviços de RDP nos hosts vulneráveis ​​até que as correções oficiais sejam aplicadas.

Para consultar a tabela de correções para sistemas mais antigos vá até Orientação do cliente para CVE-2019-0708 e para os demais sistemas vá até CVE-2019-0708


Fonte: TechNet

43 visualizações
  • Twitter Ksecurity
  • Branca Ícone LinkedIn
  • White Facebook Icon

© 2019 by KSecurity - Todos os Direitos Reservados

FALE COM A K