Image default
Vulnerabilidades

Falha do CredSSP no protocolo RDP afeta todas as versões do Windows

O protocolo CredSSP (Credential Security Support Provider) foi projetado para ser utilizado pelo RDP (Remote Desktop Protocol) e o WinRM (Windows Remote Management), para trabalhar com o encaminhamento seguro de credenciais criptografadas de um cliente Windows para servidores de destino que farão a autenticação remota do cliente.

Como funciona o ataque?

Descoberto pelos pesquisadores da empresa de cibersegurança, Preempty Security, o problema, descrito no CVE-2018-0886, é uma falha lógica na criptografia do CredSSP, que pode ser explorada através de um ataque chamado Man-in-the-middle em uma rede Wi-Fi ou no acesso físico à rede para retransmitir as credenciais do usuário, e assim, executar código no sistema de destino.

“Um invasor que sequestrou a sessão de um usuário com privilégios suficientes, poderá executar diferentes comandos com privilégios de um administrador local. Isto é especialmente crítico no que diz respeito aos controladores de domínio, onde a maioria das operações utilizando a tecnologia de Chamada de Procedimento Remoto (DCE/RPC) estão habilitadas por padrão”, diz Yaron Zinar, pesquisador líder de segurança da Preempt.

Isso poderia deixar as empresas vulneráveis a uma variedade de ataques, incluindo Movimento Lateral de Rede, infecção em servidores críticos ou controladores de domínio, dentre outros.

Uma vez que o RDP seja o mais popular meio para executar acesso/login remoto em quase todos os clientes corporativos que possuam suporte ao RDP, isso torna a maioria das redes vulneráveis a este tipo de problema de segurança.

A Microsoft foi avisada

Os pesquisadores da Preempt, em agosto de 2017, descobriram e divulgaram para a Microsoft esta vulnerabilidade desconhecida de execução de código, mas a Microsoft emitiu hoje um comunicado referente a correção do protocolo, como parte do March 2018 Patch Tuesday, quase 7 meses após a descoberta.

Como se proteger?

Para as empresas se protegerem contra a exploração do CredSSP, recomenda-se que sejam aplicados os patches nas estações de trabalho e servidores por meio das atualizações disponibilizadas pela Microsoft.

Embora os pesquisadores também tenham avisado que o patch por si só não seja suficiente para evitar o ataque, recomenda-se que profissionais de TI realizem alguma configuração para aplicar o patch e deixar o ambiente protegido.

O bloqueio de portas de determinados aplicativos/tecnologias, incluindo o RDP e o DCE/RPC, também poderá frustrar o ataque, mas dizem os pesquisadores, que este ataque pode ser implementado por outros meios, utilizando diferentes protocolos.

Portanto, para proteger a sua rede com eficiência, é uma boa prática restringir o uso de contas privilegiadas (de administrador por exemplo) tanto quanto possível, e em vez disso, utilizar contas não privilegiadas quando necessário.

Como parte do March 2018 Patch Tuesday,, a Microsoft também liberou atualizações de segurança para outros produtos, incluindo o navegador Internet Explorer e Edge, Windows, Office, PowerShell, ChakraCore e o Adobe Flash Player.

Fonte

https://thehackernews.com/2018/03/credssp-rdp-exploit.html

https://technet.microsoft.com/pt-br/security/bulletins

https://support.microsoft.com/pt-br/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

 

Posts similares

Site do partido PSDB do Rio foi atacado por hacktivistas

O Analista

Mais de 80 produtos da Cisco são afetados pelo bug de DoS FragmentSmack

O Analista

Falha no kernel do Linux permite a escalação de privilégios no sistema

O Analista
O Analista_