Kritisk sårbarhet i Microsoft Remote Service (RDS) i vissa Windows-versioner

Sårbarhet9/2019

Microsoft har släppt ut säkerhetsuppdateringar för kritiska sårbarheter i RDS-tjänsten i operativsystem som inte längre har support. De är Windows 7, Windows Server 2008 och 2008 R2, Windows 2003 och Windows XP. Sårbarheterna möjliggör exekvering av skadlig kod som sprider sig i form av internetmaskar.

RDS var tidigare känd som Terminal Service. En angripare kan utnyttja sårbarheten genom att exekvera godtycklig kod i systemet efter att ha skickat en speciellt utformad begäran till RDP. Detta är möjligt före inloggning på RDP-tjänsten och angriparen kan utnyttja sårbarheten utan användarens (offrets) medverkan. Genom att utnyttja sårbarheten går det att automatisera spridandet av maskar.

Mask är ett skadligt datorprogram som sprider sig från en sårbar apparat till en annan utan åtgärder av användaren.

Mer information om ämnet finns i Microsofts blogg (Extern länk), i sårbarhetsmeddelandet CVE-2019-0708 (Extern länk) samt i uppdateringsanvisningar (Extern länk).

Det finns exempelkod som utnyttjar sårbarheten. En modul har publicerats i populär intrångstestverktyg Metasploit den 6.9.2019. Med modulen kan en angripare exekvera egen programmkod i en objektsystem. Sårbarheten har utnyttjats i världen. Till exempel Australian Cyber Security Centre (ACSC) (Extern länk) har reporterat om det den 12.8.2019. Mera information om exempelkod kan läsas till exempel i Bleeping computer's artikel (Extern länk). Publicering av Metasploit modulen troligen ökar försökningar att utnyttja sårbarheten.

Vi rekommenderar att omedelbart uppdatera sårbara systemer eller att genomföra andra skyddmetoder. Metasploits utvecklare rekommenderar att undvika automatisk avbrytning av datatrafik om kod som utnyttjar sårbarheten observeras i trafiken, eftersom det kan krascha objektsystemet. Det är bättre att förhindra RDP förbindelser till sårbara system med hjälp av en brandvägg.

Målet

  • Arbetsstationer och slutanvändarapplikationer
  • Inbyggda system
  • Servrar och serverapplikationer

Attackmetoden

  • På distans
  • Utan användarens medverkan
  • Utan inloggning

Inverkan

  • Exekvering av godtyckliga kommandon
  • Att förbigå säkerheten
  • Modifiering av uppgifter
  • Anskaffning av konfidentiell information

Utnyttjandet

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Åtgärdandet

  • Korrigerande programuppdatering
  • Problembegränsning

Sårbara program

Följande versioner av Windows-operativsystemet är sårbara:

  • Windows 7
  • Windows 2003
  • Windows XP
  • Windows Server 2008

Sårbarheten CVE-2019-0708 finns inte i nyare versioner av Windows (t.ex. 10) eller Windows Server.

Åtgärds- och begränsningsmöjligheter

  • Korrigerande programuppdatering. Beakta att det inte är möjligt att få en automatisk uppdatering till äldre versioner av Windows (2003 och XP) via WSUS utan man ska hämta uppdateringen manuellt från Microsoft Update Catalog och vid behov lägga till den i WSUS.
  • Slå av RDP-tjänsterna om de inte behövs.
  • Använd Network Level Authentication (NLS) om operativsystemet stöder den (Windows 7, Windows Server 2008 och Windows Server 2008 R2). För att kunna utnyttja sårbarheten måste angriparen då identifiera sig i RDS-tjänsten.
  • I brandväggar blockera TCP-trafik från internet till port 3389.

Mera information

Tillsatt information om exempelkod, utnyttjande av sårbarheten och Metasploit modul.