Microsoft рассказала, как не лишиться доступа к серверам под Windows
Microsoft планирует блокировать RDP-соединения для уязвимых серверов. Если на клиентской или на серверной стороне не будут установлены обновления к уязвимости CVE-2018-0886, с мая 2018 г. RDP-соединения для таких серверов станут недоступными.
Поторопитесь с патчем
Корпорация Microsoft планирует блокировать попытки RDP-соединения (протокол удаленного рабочего стола) с серверами под управлением Windows Server со стороны клиентов, которые не установили патч к недавно исправленной уязвимости.
Дело касается уязвимости CVE-2018-0886, исправленной в недавнем обновлении для Windows. Уязвимость в протоколе Credential Security Support Provider (CredSSP — провайдер поддержки безопасности учетных данных) допускала удаленный запуск произвольного кода на уязвимой системе. Ошибка была связана с тем, как CredSSP обрабатывал запросы на авторизацию. Иными словами, хакер с помощью атаки «человек посередине» мог направлять серверу произвольные команды, выдавая себя за легитимного пользователя или даже администратора.
Уязвимость присутствовала в Microsoft Windows Server 2008 SP2 и R2 SP1, Windows 7 SP1, Windows 8.1 и RT 8.1, Windows Server 2012 и R2, Windows 10 Gold, версиях 1511, 1607, 1703, и 1709 Windows Server 2016 и в Windows Server версии 1709.
Эксплуатация уязвимости
В документации к патчу написано, что мероприятия по исправлению должны включать обновление соответствующих ОС у клиентов и на сервере, а также использование прилагающихся настроек групповой политики (Group Policy) или аналогов для работы с реестром — для управления настройками на клиентских компьютерах и на сервере. «Мы рекомендуем администраторам установить предложенную политику и выставить в ней значения "Принудительное обновление клиентов" (Force updated clients) или "Исправлено" (Mitigated) как можно скорее», — отмечают разработчики.
Значения Force Updated Clients и Mitigated подразумевают что службы, использующие CredSSP, не будут принимать соединения от клиентов, у которых не установлены обновления, в то время как клиентские приложения будет невозможно откатывать к ранним, уязвимым версиям.
Если администраторы выставят значение «уязвимый» (Vulnerable), то возможность таких соединений сохранится. Именно это значение пока остается "по умолчанию". Политика выставляется по адресу: ComputerConfiguration -> AdministrativeTemplates -> System -> CredentialsDelegation.
Реализм и жесткость
В документации упоминается также, что в апреле-мае 2018 г. Microsoft собирается «накатывать» новые обновления, которые будут привлекать повышенное внимание к неустановленным обновлениям — что на стороне клиента, что на стороне сервера и принудительно переведут политику групп в режим Mitigated. После этого возможность подключения уязвимых клиентов по RDP к серверу будет заблокирована полностью.
«Microsoft дает "реалистичные" два месяца на то, чтобы установить все необходимые обновления, в том числе, к сторонним RDP-клиентам, после этого переходит к "жестким" защитным мерам, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Подобная жесткость себя скорее оправдывает, чем нет; без этого установка обновлений может затянуться, а значит, и вероятность успешной эксплуатации повысится. Вопрос в том, сколько кибератак произойдет до того, как все обновления будут выпущены и установлены».
Источник: cnews.ru
