Informações, notícias e muito mais!

Falha do CredSSP no protocolo RDP afeta todas as versões do Windows

Falha do CredSSP no protocolo RDP afeta todas as versões do Windows

Foi descoberta uma vulnerabilidade crítica no protocolo CredSSP que afeta todas as versões do Windows e pode permitir que hackers explorem remotamente o RDP e o WinRM para roubar dados e executar código malicioso em um servidor Windows.

O protocolo CredSSP (Credential Security Support Provider) foi projetado para ser utilizado pelo RDP (Remote Desktop Protocol) e o WinRM (Windows Remote Management), para trabalhar com o encaminhamento seguro de credenciais criptografadas de um cliente Windows para servidores de destino que farão a autenticação remota do cliente.

Como funciona o ataque?

Descoberto pelos pesquisadores da empresa de cibersegurança, Preempty Security, o problema, descrito no CVE-2018-0886, é uma falha lógica na criptografia do CredSSP, que pode ser explorada através de um ataque chamado Man-in-the-middle em uma rede Wi-Fi ou no acesso físico à rede para retransmitir as credenciais do usuário, e assim, executar código no sistema de destino.

“Um invasor que sequestrou a sessão de um usuário com privilégios suficientes, poderá executar diferentes comandos com privilégios de um administrador local. Isto é especialmente crítico no que diz respeito aos controladores de domínio, onde a maioria das operações utilizando a tecnologia de Chamada de Procedimento Remoto (DCE/RPC) estão habilitadas por padrão”, diz Yaron Zinar, pesquisador líder de segurança da Preempt.

Isso poderia deixar as empresas vulneráveis a uma variedade de ataques, incluindo Movimento Lateral de Rede, infecção em servidores críticos ou controladores de domínio, dentre outros.

Uma vez que o RDP seja o mais popular meio para executar acesso/login remoto em quase todos os clientes corporativos que possuam suporte ao RDP, isso torna a maioria das redes vulneráveis a este tipo de problema de segurança.

A Microsoft foi avisada

Os pesquisadores da Preempt, em agosto de 2017, descobriram e divulgaram para a Microsoft esta vulnerabilidade desconhecida de execução de código, mas a Microsoft emitiu hoje um comunicado referente a correção do protocolo, como parte do March 2018 Patch Tuesday, quase 7 meses após a descoberta.

Como se proteger?

Para as empresas se protegerem contra a exploração do CredSSP, recomenda-se que sejam aplicados os patches nas estações de trabalho e servidores por meio das atualizações disponibilizadas pela Microsoft.

Embora os pesquisadores também tenham avisado que o patch por si só não seja suficiente para evitar o ataque, recomenda-se que profissionais de TI realizem alguma configuração para aplicar o patch e deixar o ambiente protegido.

O bloqueio de portas de determinados aplicativos/tecnologias, incluindo o RDP e o DCE/RPC, também poderá frustrar o ataque, mas dizem os pesquisadores, que este ataque pode ser implementado por outros meios, utilizando diferentes protocolos.

Portanto, para proteger a sua rede com eficiência, é uma boa prática restringir o uso de contas privilegiadas (de administrador por exemplo) tanto quanto possível, e em vez disso, utilizar contas não privilegiadas quando necessário.

Como parte do March 2018 Patch Tuesday,, a Microsoft também liberou atualizações de segurança para outros produtos, incluindo o navegador Internet Explorer e Edge, Windows, Office, PowerShell, ChakraCore e o Adobe Flash Player.

Fonte

https://thehackernews.com/2018/03/credssp-rdp-exploit.html

https://technet.microsoft.com/pt-br/security/bulletins

https://support.microsoft.com/pt-br/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

 

Comentários