Microsoft protege a vulnerabilidade do RDP. Atualize agora!

Como parte de sua atualização mensal na terça-feira, a Microsoft anunciou nesta semana que lançaram uma correção preliminar para uma vulnerabilidade avaliada e presente em todas as versões suportadas do Windows em circulação (basicamente, qualquer versão de cliente ou servidor do Windows a partir de 2008).

A falha afeta o protocolo Credential Security Support Provider (CredSSP), que é usado em todas as instâncias do Remote Desktop Protocol (RDP) do Windows e do Gerenciamento Remoto (WinRM).

A vulnerabilidade, CVE-2018-0886 , pode permitir a execução remota de código através de um ataque Man-in-the-Middle físico ou wifi, onde o atacante rouba dados de sessão, incluindo credenciais de usuários locais, durante o processo de autenticação CredSSP.

Embora a Microsoft diga que o bug ainda não foi explorado, isso pode causar sérios danos se não for apresentado.

O RDP é amplamente utilizado em ambientes empresariais e um invasor que explora com sucesso esse erro pode usá-lo para obter uma posição a partir da qual pivô e escalar. Também é popular entre as pequenas empresas que terceirizam sua administração de TI e, desnecessário dizer, um atacante com uma conta de administrador tem todos os ases.

Pesquisadores de segurança da Preempt dizem que descobriram e divulgaram esta vulnerabilidade à Microsoft em agosto passado, e a Microsoft vem trabalhando desde então para criar o patch lançado nesta semana.

Agora está lá fora, é uma corrida contra o tempo para se certificar de que você não é um alvo fácil para um atacante que quer tentar chutar os pneus nesta vulnerabilidade. Obviamente, repare o mais rápido possível.

Windows RDP como um vetor de ataque tentador

Se você já trabalhou em um escritório e teve problemas com seu computador baseado no Windows, há uma chance decente de que seu administrador de TI o ajudou de longe usando o RDP.

Isso ocorreu de uma forma ou de outra desde o Windows XP e permite que um administrador controle a máquina de outra pessoa, geralmente para que eles possam resolver problemas diretamente e rapidamente. (Dado que muitas equipes de TI não estão localizadas no mesmo país que as pessoas que estão tentando ajudar, o RDP certamente é muito mais rápido do que esperar por ajuda técnica para aparecer na sua mesa.)

O RDP funciona diretamente através da interface do usuário, permitindo que um usuário remoto interaja com um computador alvo como se estivesse sentado no teclado bem à sua frente.

E é isso que torna um alvo tão atraente para os atacantes.

Com uma sessão RDP, um invasor pode executar exploits de escalação de privilégios e, em seguida, tentar desativar medidas de proteção, instalar ferramentas de hacking, atacar outras máquinas na mesma rede, desligar sistemas de chaves como backups ou bancos de dados SQL e, claro, executar malware.

Ataques como este permitem que os hackers aproveitem seu tempo, descubra o lay of the land e até mesmo experimente diferentes tipos de resgate até encontrar um que funcione.

Para obter mais informações sobre os ataques de RDP e sobre como se endurecer contra eles, leia nosso artigo recente sobre como os hackers de propagação de rede se escondem através do RDP .