14 Мая на портале Microsoft Security Response Center (MSRC) опубликована статья CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability, содержащая ссылки на обновления ОС Windows, закрывающие критическую уязвимость в работе служб удалённых рабочих столов Remote Desktop Services, которая может быть проэксплуатирована через протокол RDP. Ситуацию с данной уязвимостью можно считать довольно серьёзной, если взять во внимание то, что Microsoft выпустили обновления даже для служб Terminal Services снятых с поддержки систем Windows XP и Windows Server 2003.
Если вы являетесь "счастливым" обладателем таких систем, как:
- Windows 7 32-bit SP1;
- Windows 7 64-bit SP1;
- Windows Server 2008 32-bit SP2;
- Windows Server 2008 (Itanium) SP2;
- Windows Server 2008 64-bit SP2;
- Windows Server 2008 R2 (Itanium) SP1;
- Windows Server 2008 R2 SP1;
то получить обновления к этим системам можно через Windows Update/WSUS в рамках месячных Майских пакетов обновлений Monthly Rollup. Найти ссылки для отдельной самостоятельной загрузки соответствующих обновлений для перечисленных систем можно в той же статье CVE-2019-0708.
Для тех, кто продолжает использовать такие устаревшие системы, как:
- Windows XP SP3 x86
- Windows XP Professional x64 Edition SP2
- Windows XP Embedded SP3 x86
- Windows Embedded POSReady 2009
- Windows Embedded Standard 2009
- Windows Server 2003 SP2 x86
- Windows Server 2003 x64 Edition SP2
можно ознакомиться с дополнительной информацией о критичности обновлений в статье KB4500705, а также о заменяемых обновлениями файлах в статье KB4500331. Прямая ссылка для самостоятельной загрузки обновлений для этих систем из онлайн-каталога Windows Update здесь.
Администраторы, распространяющие обновления через внутренний WSUS-сервер, могут импортировать загруженные вручную обновления для устаревших систем через оснастку управления Update Services (wsus.msc)
В качестве дополнительных мер безопасности рекомендуется:
- Включить поддержку аутентификации на уровне сети Network Level Authentication (NLA) на тех системах, где это поддерживается. Однако стоит понимать, что включение NLA не отменяет необходимости установки обновлений;
- Заблокировать доступ из внешних сетей по порту TCP 3389 до полного устранения уязвимости;
- Отключить службы удалённых рабочих столов Terminal Services/Remote Desktop Services на системах, где нет необходимости в использовании протокола RDP, либо на системах, где по каким-либо причинам невозможна установка выше обозначенных обновлений.
Дополнительные источники информации:
RSS - Записи
Спасибо! Эксплоит уже гуляет по интернету. Сервер клиента с windows server 2003, который стоит у нас на колокейшене, в четверг ломанули через пару часов после подключения к сети.
И вот не хочет он импортироваться в WSUS 2012 R2.
[Код ошибки: 80131509]
Короче, делать надо так. Если сервер синхронизируется с вышестоящего, то делать или на нем, или временно переключиться напрямую к WIndows Update. Если есть proxy, то netsh winhttp import proxy spurce=ie.
Возможно понадобится добавить в hosts 51.143.120.138 fe2.update.microsoft.com
Потом
(Get-WsusServer).ImportUpdateFromCatalogSite('b1c2b421-2367-46c0-b2b3-e003d19de834',"C:\Temp\1\X
86-ru-windowsserver2003-kb4500331-x86-custom-rus_54fb727b232c544e777bd257e88d2169e1672757.exe")
Обратная ссылка: Сканируем сеть на предмет наличия уязвимости CVE-2019-0708 (BlueKeep) с помощью модуля Metasploit и утилиты rdpscan в ОС Kali Linux 2019.2 — Блог IT-KB /
Обратная ссылка: Августовские обновления Windows требуют тщательного предварительно тестирования перед развёртыванием — Блог IT-KB /