CVE-2018-0886 è l'identificatore di un difetto critico trovato in Credential Security Support Provider (CredSSP). La vulnerabilità interessa tutte le versioni di Windows e consente agli hacker malintenzionati l'accesso remoto di sfruttare RDP (Remote Desktop Protocol) e Gestione remota Windows (Gestione remota Windows).
CVE-2018-0886 – Dettagli tecnici
Upon successo exploit, gli hacker potrebbero eseguire codice dannoso e rubare dati sensibili da sistemi compromessi. Il difetto è stato reso noto dai ricercatori Preempt Sicurezza.
"Una vulnerabilità legata all'esecuzione di codice in modalità remota nel protocollo di provider di credenziali Security Support (CredSSP). Un utente malintenzionato che sfrutti questa vulnerabilità può trasmettere le credenziali degli utenti e li usa per eseguire codice sul sistema di destinazione", Microsoft ha spiegato.
Va notato che CredSSP è un provider di autenticazione che elabora le richieste di autenticazione per altre applicazioni. Questo lascia qualsiasi applicazione a seconda del CredSSP per l'autenticazione vulnerabili a un attacco del genere.
Come spiegato da Microsoft dice che:
Come esempio di come un utente malintenzionato potrebbe sfruttare questa vulnerabilità contro Remote Desktop Protocol, l'aggressore avrebbe bisogno di eseguire un'applicazione appositamente predisposta ed eseguire un attacco man-in-the-middle contro una sessione di Remote Desktop Protocol. Un utente malintenzionato potrebbe quindi installare programmi; vista, modificare, o cancellare i dati; oppure creare nuovi account con diritti utente completi.
Più specificamente, quando un client e server autenticazione tramite RDP e protocolli WinRM, un man-in-the-middle attacco può essere avviata. Un tale malintenzionato potrebbe essere in grado di eseguire comandi in remoto e compromettere così intere reti. L'exploit di questa vulnerabilità potrebbe essere molto gravi a seconda delle reti aziendali mirati in attacchi.
“Un utente malintenzionato che hanno rubato una sessione da un utente con privilegi sufficienti potrebbe eseguire comandi diversi con privilegi di amministratore locale. Ciò è particolarmente importante in caso di controller di dominio, dove la maggior parte delle chiamate di procedura remota (DCE / RPC) sono abilitati di default,” spiegato Yare, ricercatore di sicurezza piombo a Preempt, la società di sicurezza che sono imbattuto in CVE-2018-0886.
Aggiornamento che corregge la vulnerabilità è disponibile
Per fortuna, una patch di sicurezza affrontare la falla è già stato rilasciato. L'aggiornamento corregge il modo CredSSP convalida le richieste durante il processo di autenticazione.
Quello che gli utenti devono fare per proteggere se stessi per questo attacco? Essi dovrebbero abilitare le impostazioni dei Criteri di gruppo sui loro sistemi e aggiornare i loro clienti Desktop remoto al più presto possibile. Tenete a mente che le impostazioni dei Criteri di gruppo sono disabilitate per default per evitare i problemi di connettività. Per informazioni su come consentire loro, gli utenti devono seguire le istruzioni presentate qui.
L'aggiornamento è stato rilasciato nel marzo 2018 di “Patch Martedì”, L'aggiornamento generale sicurezza fissato un totale di 75 problemi.