Удаленное выполнение произвольного кода в протоколе RDP14.05.2019 22:49

Стало известно об опасной уязвимости в протоколе RDP: корпорация Microsoft подготовила экстренный патч для уязвимости с идентификатором CVE-2019–0708, позволяющей выполнить произвольный код на целевой системе.

Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов, которые ранее назывались службами терминалов, когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в целевой системе.

The vulnerability (CVE-2019–0708) resides in the «remote desktop services» component built into supported versions of Windows, including Windows 7, Windows Server 2008 R2, and Windows Server 2008. It also is present in computers powered by Windows XP and Windows 2003, operating systems for which Microsoft long ago stopped shipping security updates.

Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо отправить специально созданный запрос службе удаленных рабочих столов целевых систем через RDP.

Интересным является тот факт, что эту или схожую уязвимость продавали в даркнете минимум с августа прошлого года:

SELLER, [30.09.18 12:54]
RDP RCE Exploit

description:
This is a bug in RDP protocol.
That means you may exploit any Windows remotely who enables RDP.

vulnerability type:
Heap overflow

affected versions:
Windows 2000/XP/2003/Vista/7/2008(R2)

privilege level obtained:
SYSTEM privilege

reliability:
90% for one core / 30% for multiple core

exploitation length:
around 10 seconds

Possible buyer, [30.09.18 12:58]
affected versions:
Windows 2000/XP/2003/Vista/7/2008(R2)
LOL

Possible buyer, [30.09.18 12:58]
is it pre-auth or post-auth vuln?

SELLER, [30.09.18 12:59]
Pre

Possible buyer, [30.09.18 12:59]
for how much they/he/she sells it?

SELLER, [30.09.18 12:59]
500

SELLER, [30.09.18 12:59]
Shared

Possible buyer, [30.09.18 12:59]
500k USD?

SELLER, [30.09.18 13:00]
So u can guess it was sold few times

SELLER, [30.09.18 13:00]
Yes

© Habrahabr.ru