CVE-2018-0886 es el identificador de un fallo crítico que se encuentra en el proveedor de credenciales de soporte de seguridad (CredSSP). La vulnerabilidad afecta a todas las versiones de Windows y permite a los hackers el acceso remoto a explotar RDP (Protocolo de escritorio remoto) y WinRM (Administración remota de Windows).
CVE-2018-0886 – Detalles Técnicos
Al ataque exitoso, los hackers podrían ejecutar código malicioso y robar datos sensibles de los sistemas comprometidos. La falla fue revelada por los investigadores de la Preferencia de Seguridad.
"Existe una vulnerabilidad de ejecución remota de código en el protocolo de proveedor de credenciales de soporte de seguridad (CredSSP). Un atacante que aprovechara esta vulnerabilidad podría retransmitir las credenciales de usuario y utilizarlos para ejecutar código en el sistema de destino", microsoft explicó.
Cabe señalar que CredSSP es un proveedor de autenticación que procesa las solicitudes de autenticación para otras aplicaciones. Esto deja a cualquier aplicación en función de la CredSSP para la autenticación vulnerable a un ataque de ese.
Según lo explicado por Microsoft dice eso:
Como un ejemplo de cómo un atacante podría explotar esta vulnerabilidad contra Remote Desktop Protocol, el atacante tendría que ejecutar una aplicación especialmente diseñada y llevar a cabo un ataque man-in-the-middle en contra de una sesión de protocolo de escritorio remoto. Un atacante podría instalar programas; vista, cambio, o borrar datos; o crear cuentas nuevas con todos los derechos de usuario.
Más específicamente, cuando un cliente y un servidor de autenticación a través de RDP y protocolos de WinRM, un hombre en el medio de ataque puede ser iniciado. un atacante sería capaz de ejecutar comandos de forma remota y por lo tanto poner en peligro las redes enteras. La explotación de esta vulnerabilidad podría ser muy grave en función de las redes empresariales en ataques dirigidos.
“Un atacante que han robado una sesión de un usuario con privilegios suficientes podría ejecutar diferentes comandos con privilegios de administrador local. Esto es especialmente crítico en el caso de los controladores de dominio, donde la mayoría de las llamadas a procedimiento remoto (DCE / RPC) están habilitados de forma predeterminada,” explicó Yare, investigador de seguridad de plomo en Preempt, la empresa de seguridad que se encontró con CVE-2018 a 0886.
Actualización que corrige la vulnerabilidad está disponible
Afortunadamente, un parche de seguridad frente a la falla ya ha sido puesto en libertad. La actualización corrige la forma CredSSP valida las solicitudes durante el proceso de autenticación.
¿Qué deben hacer los usuarios para protegerse de este ataque? Se debe habilitar la configuración de directiva de grupo en sus sistemas y actualizar sus clientes de escritorio remoto tan pronto como sea posible. Tenga en cuenta que la configuración de directiva de grupo están desactivados por defecto para evitar problemas de conectividad. Para aprender a permitirles, los usuarios deben seguir las instrucciones presentadas aquí.
La actualización se publicó el Marzo de 2018 “Martes de parches”, la actualización de seguridad global fijado un total de 75 cuestiones.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: