CVE-2018-0886 er identifikationen af en kritisk fejl fundet i Credential Security Support Provider (CredSSP). Sårbarheden berører alle versioner af Windows og tillader ondsindede hackere fjernbetjening adgang til at udnytte RDP (Remote Desktop Protocol) og WinRM (Windows Remote Management).
CVE-2018-0886 – Tekniske Detaljer
Efter en vellykket udnytte, hackere kunne køre skadelig kode og stjæle følsomme data fra kompromitterede systemer. Fejlen blev beskrevet af forskere ved foregribe Sikkerhed.
"En fjernkørsel sårbarhed findes i Credential Security Support Provider protokol (CredSSP). En hacker, som det lykkes at udnytte denne sårbarhed, kan relæ brugeroplysninger og bruge dem til at udføre kode på målet systemet", Microsoft forklarede.
Det skal bemærkes, at CredSSP er en authentication udbyderen, der behandler anmodninger autentificering til andre anvendelser. Dette efterlader alle programmer afhængigt af CredSSP til godkendelse sårbare over for et sådant angreb.
Som forklaret af Microsoft siger at:
Som et eksempel på, hvordan en hacker ville udnytte denne sårbarhed mod Remote Desktop Protocol, den hacker skal køre et særligt udformet program og udføre en man-in-the-middle-angreb mod en Remote Desktop Protocol session. En hacker kunne derefter installere programmer; visning, lave om, eller slette data; eller oprette nye konti med komplette brugerrettigheder.
Mere specifikt, når en klient og server godkende via RDP og WinRM protokoller, en man-in-the-middle-angreb kan igangsættes. En sådan hacker ville være i stand til at udføre kommandoer på afstand og dermed kompromittere hele netværk. Den udnytter denne sårbarhed kan være ganske alvorlige, afhængigt af virksomhedens netværk målrettet i angreb.
“En hacker, der har stjålet en session fra en bruger med tilstrækkelige rettigheder kunne køre forskellige kommandoer med lokale administratorrettigheder. Dette er især kritisk i tilfælde af domænecontrollere, Hvor de fleste Remote Procedure Calls (DCE / RPC) er aktiveret som standard,” forklaret Yare, bly sikkerhed forsker ved foregribe, sikkerhedsfirmaet der kom på tværs af CVE-2018-0886.
Opdatering, der løser den sårbarhed er tilgængelig
Heldigvis, en sikkerhedsrettelse adressering fejlen allerede er blevet frigivet. Opdateringen korrigerer hvordan CredSSP validerer anmodninger under godkendelsesprocessen.
Hvad skal brugere gøre for at beskytte sig selv for dette angreb? De skal gøre det muligt for indstillinger for gruppepolitik på deres systemer og opdatere deres Remote Desktop klienter så hurtigt som muligt. Husk, at Group Policy indstillingerne er som standard deaktiveret for at forhindre forbindelsesproblemer. At lære at sætte dem i stand, brugere bør følge instruktionerne præsenteret her.
Opdateringen blev udstedt den March 2018 s “Patch tirsdag”, den samlede sikkerhedsopdatering fast i alt 75 spørgsmål.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: