Remote Desktop Services Remote Code Execution Vulnerability (CVE-2019-0708)

A new vulnerability detected in Windows.

A remote code execution vulnerability (CVE-2019-0708) exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Vulnerable in-support systems include Windows 7, Windows Server 2008 R2, and Windows Server 2008.
Out-of-support systems include Windows 2003 and Windows XP.

To exploit this vulnerability, an attacker would need to send a specially crafted request to the target systems Remote Desktop Service via RDP. The update addresses the vulnerability by correcting how Remote Desktop Services handles connection requests.

You may find the vulnerability technical details on portal.msrc.microsoft.com.

How to Protect Yourself

The following workarounds may be helpful in your situation. In all cases, Microsoft strongly recommends that you install the updates for this vulnerability as soon as possible even if you plan to leave these workarounds in place:

1. Enable Network Level Authentication (NLA) on systems running supported editions of Windows 7, Windows Server 2008, and Windows Server 2008 R2

You can enable Network Level Authentication to block unauthenticated attackers from exploiting this vulnerability. With NLA turned on, an attacker would first need to authenticate to Remote Desktop Services using a valid account on the target system before the attacker could exploit the vulnerability.

2. Block TCP port 3389 at the enterprise perimeter firewall

TCP port 3389 is used to initiate a connection with the affected component. Blocking this port at the network perimeter firewall will help protect systems that are behind that firewall from attempts to exploit this vulnerability. This can help protect networks from attacks that originate outside the enterprise perimeter. Blocking the affected ports at the enterprise perimeter is the best defense to help avoid Internet-based attacks. However, systems could still be vulnerable to attacks from within their enterprise perimeter.

 
Vulnerability detection will be available in the next MaxPatrol 8 update (05/17/2019).
 

Критическая RCE-уязвимость в службах удаленных рабочих столов (CVE-2019-0708)

В ОС Windows обнаружена критическая RCE-уязвимость в службах удаленных рабочих столов.
При успешной эксплуатации уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного кода на атакуемой системе.
Подробное техническое описание уязвимости можно найти на support.microsoft.com

Уязвимости подвержены ОС Windows 7, Windows Server 2008 R2, Windows Server 2008, а также вышедшие из поддержки вендором Windows 2003 and Windows XP.

Как защититься

Во всех случаях Microsoft настоятельно рекомендует установить обновления для этой уязвимости как можно скорее, даже если вы планируете в дальнейшем использовать эти обходные пути:

1. Включите проверку подлинности на уровне сети (NLA) в системах, работающих под управлением ОС Windows 7, Windows Server 2008 и Windows Server 2008 R2

Вы можете включить проверку подлинности на уровне сети, чтобы блокировать использование этой уязвимости злоумышленниками, не прошедшими проверку подлинности. Когда NLA включен, злоумышленнику сначала необходимо пройти проверку подлинности в службах удаленных рабочих столов с использованием действующей учетной записи в целевой системе, прежде чем злоумышленник сможет воспользоваться этой уязвимостью.

2. Заблокируйте TCP-порт 3389 на брандмауэре сети предприятия.

TCP-порт 3389 используется для установления соединения с уязвимым компонентом. Блокировка этого порта на брандмауэре периметра сети поможет защитить системы, которые находятся за этим брандмауэром, от попыток использовать эту уязвимость. Это может помочь защитить сети от атак, происходящих за пределами периметра предприятия. Блокировка уязвимых портов по периметру предприятия - лучшая защита от интернет-атак. Однако системы по-прежнему могут быть уязвимы для атак изнутри периметра предприятия.

Возможность определения данной уязвимости будет доступна в ближайшем обновлении MaxPatrol 8 (17.05.2019).