Выпущены обновления Windows для закрытия критической уязвимости CVE-2019-0708 в службах удалённых рабочих столов Terminal Services и Remote Desktop Services с возможностью эксплуатации через протокол RDP

RDP Remote Desktop Services Remote Code Execution Vulnerability14 Мая на портале Microsoft Security Response Center (MSRC) опубликована статья CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability, содержащая ссылки на обновления ОС Windows, закрывающие критическую уязвимость в работе служб удалённых рабочих столов Remote Desktop Services, которая может быть проэксплуатирована через протокол RDP. Ситуацию с данной уязвимостью можно считать довольно серьёзной, если взять во внимание то, что Microsoft выпустили обновления даже для служб Terminal Services снятых с поддержки систем Windows XP и Windows Server 2003.

Если вы являетесь "счастливым" обладателем таких систем, как:

  • Windows 7 32-bit SP1;
  • Windows 7 64-bit SP1;
  • Windows Server 2008 32-bit SP2;
  • Windows Server 2008 (Itanium) SP2;
  • Windows Server 2008 64-bit SP2;
  • Windows Server 2008 R2 (Itanium) SP1;
  • Windows Server 2008 R2 SP1;

то получить обновления к этим системам можно через Windows Update/WSUS в рамках месячных Майских пакетов обновлений Monthly Rollup. Найти ссылки для отдельной самостоятельной загрузки соответствующих обновлений для перечисленных систем можно в той же статье CVE-2019-0708.

Для тех, кто продолжает использовать такие устаревшие системы, как:

  • Windows XP SP3 x86
  • Windows XP Professional x64 Edition SP2
  • Windows XP Embedded SP3 x86
  • Windows Embedded POSReady 2009
  • Windows Embedded Standard 2009
  • Windows Server 2003 SP2 x86
  • Windows Server 2003 x64 Edition SP2

можно ознакомиться с дополнительной информацией о критичности обновлений в статье KB4500705, а также о заменяемых обновлениями файлах в статье KB4500331. Прямая ссылка для самостоятельной загрузки обновлений для этих систем из онлайн-каталога Windows Update здесь.

Администраторы, распространяющие обновления через внутренний WSUS-сервер, могут импортировать загруженные вручную обновления для устаревших систем через оснастку управления Update Services (wsus.msc)

Import updates for Windows XP in WSUS with Update Services Console

В качестве дополнительных мер безопасности рекомендуется:

  • Включить поддержку аутентификации на уровне сети Network Level Authentication (NLA) на тех системах, где это поддерживается. Однако стоит понимать, что включение NLA не отменяет необходимости установки обновлений;
  • Заблокировать доступ из внешних сетей по порту TCP 3389 до полного устранения уязвимости;
  • Отключить службы удалённых рабочих столов Terminal Services/Remote Desktop Services на системах, где нет необходимости в использовании протокола RDP, либо на системах, где по каким-либо причинам невозможна установка выше обозначенных обновлений.

Дополнительные источники информации:

Всего комментариев: 4 Комментировать

  1. Евгений /

    Спасибо! Эксплоит уже гуляет по интернету. Сервер клиента с windows server 2003, который стоит у нас на колокейшене, в четверг ломанули через пару часов после подключения к сети.

  2. Mi G /

    И вот не хочет он импортироваться в WSUS 2012 R2.
    [Код ошибки: 80131509]

  3. Mi G /

    Короче, делать надо так. Если сервер синхронизируется с вышестоящего, то делать или на нем, или временно переключиться напрямую к WIndows Update. Если есть proxy, то netsh winhttp import proxy spurce=ie.
    Возможно понадобится добавить в hosts 51.143.120.138 fe2.update.microsoft.com
    Потом
    (Get-WsusServer).ImportUpdateFromCatalogSite('b1c2b421-2367-46c0-b2b3-e003d19de834',"C:\Temp\1\X
    86-ru-windowsserver2003-kb4500331-x86-custom-rus_54fb727b232c544e777bd257e88d2169e1672757.exe")

  4. Обратная ссылка: Сканируем сеть на предмет наличия уязвимости CVE-2019-0708 (BlueKeep) с помощью модуля Metasploit и утилиты rdpscan в ОС Kali Linux 2019.2 — Блог IT-KB /

Добавить комментарий