PoC exploit érhető el a Windows CredSSP RCE sebezhetőséghez (CVE-2018-0886)

 ( trey | 2018. április 17., kedd - 6:55 )

A márciusi "Patch Kedd" alkalmával a Microsoft javítást adott ki a CVE-2018-0886 figyelmeztetőben leírt Credential Security Support Provider protocol (CredSSP) sebezhetőségre. A CredSSP-t egyebek mellett az RDP is használja. A támadó a sebezhetőséget MITM támadás alkalmazásával használhatja ki annak érdekében, hogy távolról kódot futtathasson olyan rendszereken, amelyek korábban nem voltak fertőzöttek. A sebezhetőség az összes támogatott Windows verziót érinti, így aki még nem patchelt és megbízhatatlan hálózat felé nyitott RDP portja van, annak érdemes mielőbb telepítenie a frissítéseket.

The vulnerability is a logical one and affects all Windows versions to date. In terms of the vastness of this issue, we can note that RDP is the most popular application to perform remote logins. To further highlight this, in Preempt internal research we found that almost all enterprise customers are using RDP, making them vulnerable to this issue.

Részletes infók, videó stb. itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ha jól érzem az angolt, akkor ez akkor nagyon gáz ha simán nyitva van valahol a 3389, és valaki rácsattan egy olyan hálózaton keresztül ahol közé lehet állni, ellenben ha a sérülékeny RDP egy VPN tunnelen belül fut, akkor csak és kizárólag a kliens gépen lehet eltéríteni az adatfolyamot, még mielőtt beleesne a VPN interfacebe.
Jól látom ezt, vagy van még valami más támadási lehetőség is VPN esetén?

Nem tudom, Imo-t kérdezd erről. Ő biztosan figyelemmel kíséri ezeket, mert ő előszeretettel tesz RDP-t az internetre.

--
trey @ gépház

Haha, még el sem jutottam a kommentekig, de már tudtam, hogy ez itt lesz. :)
Mégsem feleslegesen vagyunk paranoiásak.

Én ugyanazt tettem, amit tavaly nyáron az openvpn-es remote code execution, meg a MITM kliens proxy jelszólopós esetben.
Patcheltem a szolgáltatást.

Bár már 100x leirtam, azért a teljesen hülyék kedvéért ide is ideirom, csak ott használok közvetlen RDP-t, ahol nincs lehetőség külön VPN szerver beüzemelésére. Onnantól pedig teljesen mindegy, hogy a vpn szervert törik meg, vagy az RDP-t. A valóság az, hogy mind a kettőnek irtó kicsi a valószinűsége, jóval hamarabb bemennek máshogyan.

Egy nyitott 3389-es porttal wifi-n lógó laptop MITM támadással azonnal nyílik, ugyanezt VPN-szerverre nem valószínű.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség