Outro motivo para se apressar com os patches do servidor Windows: Uma nova vulnerabilidade RDP

11

Uma solicitação criada é como uma chave de esqueleto para obter acesso a servidores remotos da área de trabalho remota do Windows.
Prolongar / Uma solicitação criada é como uma chave de esqueleto para obter acesso a servidores remotos da área de trabalho remota do Windows.

Agência Anadolu / Getty Images

Embora grande parte da atenção em relação ao mais recente patch de segurança do Windows tenha sido focada em uma falha no Windows 10 e no Windows Server que poderia ser usada para falsificar um certificado para sessões seguras na Web ou código de assinatura, havia outras 48 vulnerabilidades corrigidas na última pacote de atualização. Cinco estavam relacionadas ao serviço baseado no protocolo RDP (Remote Desktop Protocol) da Microsoft, usado por milhares de organizações para acesso remoto a computadores dentro de suas redes. E duas delas são falhas no Gateway de Área de Trabalho Remota do Windows que podem permitir que invasores obtenham acesso a redes sem precisar fornecer um logon.

Esses dois erros separados, identificados como CVE-2020-0609 e CVE-2020-0610, são classificados como mais perigosos do que o bug criptográfico da Microsoft porque, embora ainda não sejam explorados, eles podem ser usados ​​para executar remotamente o código em servidores RDP direcionados antes que o gateway tente autenticá-los.

"Um invasor pode instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com todos os direitos do usuário", alertou o resumo do Microsoft Security Response Center das duas vulnerabilidades. E não há como solucionar a vulnerabilidade sem aplicar uma atualização de software. Ambos os ataques dependem de solicitações especialmente criadas para o Gateway de Área de Trabalho Remota usando o protocolo RDP.

Remotamente Desktop Pwnable

Essas novas vulnerabilidades são únicas, mas com impacto semelhante ao Revelada vulnerabilidade do Serviço de Área de Trabalho Remota em maio passado, também rotulado como crítico pela Microsoft. Várias explorações de prova de conceito do bug, apelidado de "Bluekeep" surgiu rapidamente, e a exploração era potencialmente "desagradável" – o que significa que poderia ser usado para infectar sistemas que, por sua vez, poderiam procurar outros sistemas vulneráveis ​​para atacar. Segundo alguns pesquisadores, uma exploração pela vulnerabilidade estava à venda nos mercados criminosos da Web desde setembro de 2018. Uma pesquisa superficial no mecanismo de pesquisa de segurança Shodan mostrou centenas de sistemas que ainda estão potencialmente expostos por essa vulnerabilidade.

As outras vulnerabilidades corrigidas na versão mais recente da Microsoft relacionadas ao RDP incluem uma falha no Acesso via Web à Área de Trabalho Remota que poderia permitir que um invasor usasse solicitações da Web para obter credenciais de logon de usuários legítimos, um vulnerabilidade de negação de serviço no gateway RDPe uma falha no Windows Remote Desktop Client em todas as versões suportadas do Windows (incluindo o Windows 7) que poderiam permitir que um servidor RDP remoto malicioso execute código remotamente na máquina cliente.

Dada a menor taxa de aplicação de patches que geralmente ocorre nos servidores – principalmente nos servidores mais antigos -, essas novas vulnerabilidades também podem ter uma vida útil longa. E, dependendo da profundidade de suas raízes, a Microsoft também pode ser forçada a estender os patches para sistemas operacionais mais antigos. O impacto do bug de maio de 2019 foi considerado tão grave que levou a Microsoft a emitir atualizações mesmo para Windows XP, Vista e Server 2003.

Fonte: Ars Technica