Kritikus Windows RDP sebezhetőség - még az XP-re is adott ki javítást a Microsoft

 ( Arpi | 2019. május 17., péntek - 21:24 )

Távolról is kihasználható sebezhetőségre adott ki frissítést a Microsoft. A Remote Desktop Protokollt érintő probléma (CVE-2019-0708) olyan súlyos, hogy még XP-re - a támogatás lejárta után öt évvel - is kiadták a javítást. Érintett rendszerek: Windows-7, Windows Server 2008, Windows Server 2008 R2, Windows Server 2003, XP SP3, XP Embedded és POSReady.

Önmagában az RDP protokoll nem sebezhető, azonban a pre-authentication fázisban jelenlevő hiba távolról kihasználható. Jellegénél fogva egy jövőbeni kártevő képes egyik sebezhető gépről a másik sebezhető gépre terjedni, ez hasonló, ahogy a WannaCry tette ezt 2017-ben. A Windows 10 és Windows 8 rendszerek nem érintettek, a Windows 7 és a Windows Server 2008 automatikusan megkapja a frissítést, azonban a régebbi (XP, Windows Server 2003) rendszereken manuálisan kell telepíteni, amit erősen javasolt mielőbb megtenni.

[ Bejelentés | Letöltés (XP, Windows Server 2003): Microsoft Update Catalog ]

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szavazást (vagy fogadást?) kéne kiírni:

Most akkor kedvenc trollunk frissít vagy nem?

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Szerintem letiltott RDP mellett nem okoz problémát, de nem olvastam utána.

--
robyboy

A lényeg kimaradt. Mint eddig minden esetben - a wannacry-al egyetemben - most is véd a NLA ellene, ha nincs a támadónak érvényes RDP jogosultsága a géphez.
Remélhetőleg senki nem használ NLA nélkül RDP-t :)

De. :( Sajnos de. Olyan őskövület Windows-ok ütik fel a fejüket néha ügyfeleknél, hogy Bill bácsi se hinné el!

--
Where do you want to go today?
[nobody@salcay:~]$_

"The affected systems are mitigated against ‘wormable’ malware or advanced malware threats that could exploit the vulnerability, as NLA requires authentication before the vulnerability can be triggered. However, affected systems are still vulnerable to Remote Code Execution (RCE) exploitation if the attacker has valid credentials that can be used to successfully authenticate."

Tehát, ha valahonnan mégis sikerül a gépednek összeszednie a worm-ot és teszem azt te vagy a céges rendszergazda, akinek accountja van az összes szerverre, akkor máris beszoptad.

--
trey @ gépház

Ha a rendszergazda gépe wormmal fertőzött akkor ez a hiba lesz a legkisebb probléma.

Csak ismételni tudom magam: Ha a NLA be van kapcsolva a patcheletlen rdp szerveren, akkor amig a támadónak nincsen érvényes RDP jogosultsága a kérdéses gépre, addig nem lehet megtörni ezzel a hibával.

XP-n és WS2k3-on nincs NLA
--

És? Aki xp-t vagy 2k3-at rdp-n publikál az interneten, annak ez a hiba nem oszt nem szoroz, nyilván a patch-t sem teszi fel rá, mindegy is, ezer másik sebből véreznek ezek az ősrégi rendszerek.

Tök mindegy mint azt megbízható forrásból tudjuk, tök biztonságos internetre tenni RDP-t az SMB-vel együtt. :)

Az a vicces, hogy én a wannacry-nál is azt mondtam, hogy NLA-val lehet a netre rakni rdp-t (ha muszáj), erre jött egy újabb hiba, ami ugyanezt igazolja :)

Én ezzel tisztában vagyok, nem engem kell meggyőzni.
--

Remélem a "National Infocommunications Service Company Limited by Shares"-nél is olvasták. :) Az a 2K3 még mindig ott figyel nyitva. De az IBSZ biztos rendben van papíron.

honnan tudod h. nem honeypot?
--

btw mi értelme lenne egy honeypot-ot kirakni? Aki valóban ártó szándékkal akar bemenni az úgyis proxychain-en keresztül teszi. Ha otthoni ip-ről betesztelném az exploittal (hibaokozás nélkül), majd jelenteném nekik, akkor lecsuknának vagy megköszönnék?

Magyarul semmi probléma, nincs itt semmi látnivaló. A Microsoft meg tök feleslegesen tett munkát abba, hogy ezt a "nem sebezhetőséget" még olyan rendszereken is javítsa, amiket már nem támogat.

(Megfejtem neked: azért patchelte nem támogatott rendszereken is, mert az adatai alapján sok helyen használnak még ilyen rendszereket (tudok olyan magyar nagyvállalatról, ahol még a w2k3 szerver nem ritka), illetve, a kritikusnak ítélte meg hálózatbiztonsági szempontból.)

--
trey @ gépház

Te valamit kurvára félreértettél megint :)
Senki nem mondta, hogy nem kell javitani, vagy nem veszélyes hiba. Csak múltkor itt pörögtetek, hogy micsoda életveszély rdp-t publikálni, én meg mondtam, hogy NLA-val és persze patchelt, kurrens rendszerrel nem gond. És lám itt a következő kritikus rdp hiba, ami egyrészt nem érinti a 10 évnél frissebb rendszereket, de még a 10 éveseket se, ha NLA van és nincs a támadónak érvényes rdp joga.

Az meg, hogy a ms a majd 20 éves rendszereire is kiadta a patch-t az igazán örvendetes.

Tudod mit szoktak mondani: Addig jár a korsó a kútra, amíg meg nem törik!

--
trey @ gépház

Kezdem úgy érezni, hogy az efféle sérülékenységeket a Microsoft hozza a felszínre, hogy motiválja a kedves ügyfeleit a mielőbbi upgrade-re :)

--
robyboy

Mivel XP-re is jött patch, nem hiszem, hogy ez lenne a cél.

A MS-nak nem nagyon volt választása. Igaz elenyésző % használ már XP-t, de össz számban még mindig elég sok XP-s gép lóg a neten, és nem akarják, hogy ezek zombie botnetben DoS-olják az egész netes infrastrukurát, meg terjesszék átjáróházként a fertőző szutykot.


No keyboard detected... Press F1 to run the SETUP

https://cve-2019-0708.com/

Software $39
Souce Code (BEST) $89

Tech support is van meg minden :)

azigen... comedy gold


"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."

Imonak most szar napja van.

Hát pont nem :)

Már 3 napja vártam, hogy kikerüljön a hir, biztos voltam benne, hogy bár mindegyik értesitőben szerepel, nem lesz megemlitve benne, hogy engedélyezett NLA-val csak név jelszó birtokában veszélyes :)

(raádaásul 10 éves rendszereket érint a hiba, nem a maiakat)

(Remélem az a tény megvan, hogy olvasó által beküldött tartalom. Mielőtt még a gyíkemberes konteóid előjönnek... Bár, lehetne azt is, hogy a beküldővel összebeszéltünk, hogy bosszantson fel téged. :D)

--
trey @ gépház

Semmi összeesküvést nem véltem felfedezni, business as usual :)
Vagy ki mondta, hogy te küldted be? Nem is értem a felvetést.

És mint mondtam, engem ez kicsit sem bosszant, miért bosszantana, nem érinti az általam üzemeltetett gépeket a probléma, több okból sem.

" probléma (CVE-2019-0708) olyan súlyos, hogy még XP-re - a támogatás lejárta után öt évvel - is kiadták a javítást."

Már ez bizonyíték arra, hogy Hajbazer minden szava igaz, amit az XP-ről írt.
Az MS saját maga ismeri el ráutaló magatartással, hogy még rengetegen használják ezt a rendszer, ami egyébként a legjobban sikerült termékük!