CVE-2018-0886 is de identifier van een ernstige tekortkoming in Credential Security Support Provider (CredSSP). Het beveiligingslek treft alle versies van Windows en kunnen kwaadwillende hackers op afstand toegang te exploiteren RDP (Remote desktop) en WinRM (Windows Remote Management).
CVE-2018-0886 – Technische Details
Na het succesvol exploiteren, hackers kunnen kwaadaardige code uitvoeren en gevoelige gegevens te stelen van gecompromitteerde systemen. De fout werd onthuld door onderzoekers van preempt Beveiliging.
"Een beveiligingslek bestaat in de Credential Security Support Provider protocol (CredSSP). Een aanvaller die dit beveiligingslek gebruikersgegevens kunnen doorgeven en gebruik ze om code uit te voeren op het doelsysteem uitgebuit", Microsoft verklaarde.
Opgemerkt dient te worden dat CredSSP is een authenticatie provider die authenticatie verzoeken voor andere toepassingen verwerkt. Dit laat elke toepassing, afhankelijk van de CredSSP voor authenticatie kwetsbaar is voor een dergelijke aanval.
Zoals door Microsoft zegt dat:
Als een voorbeeld van hoe een aanvaller dit beveiligingslek tegen remote desktop zou exploiteren, de aanvaller moet een speciaal ontworpen toepassing uit te voeren en het uitvoeren van een man-in-the-middle-aanval tegen een Remote Desktop Protocol-sessie. Een aanvaller kan vervolgens programma's installeren; view, verandering, of wissen; of nieuwe accounts met volledige gebruikersrechten.
Specifieker, wanneer een client en server authenticeren via RDP en WinRM protocollen, een man-in-the-middle-aanval kan worden gestart. Zo'n een aanvaller in staat om op afstand commando's uit te voeren en zo het hele netwerk in gevaar zou zijn. Het exploiteren van dit beveiligingslek heel ernstig kunnen zijn, afhankelijk van de netwerken van ondernemingen gerichte aanvallen.
“Een aanvaller die een sessie hebben gestolen van een gebruiker met voldoende rechten kunnen verschillende opdrachten met lokale beheerdersrechten draaien. Dit is vooral van belang in het geval van domeincontrollers, waar de meeste Remote Procedure Calls (DCE / RPC) zijn standaard ingeschakeld,” Uitleg Yare, lead security-onderzoeker bij preempt, het beveiligingsbedrijf die over CVE-2018-0886 kwam.
Update die Corrigeert kwetsbaarheid is beschikbaar
Gelukkig, een beveiligingspatch het aanpakken van de fout reeds is vrijgegeven. De update corrigeert hoe CredSSP valideert verzoeken tijdens het verificatieproces.
Wat moet gebruikers doen om zichzelf te beschermen voor deze aanval? Ze moeten Group Policy-instellingen in staat stellen op hun systemen en hun Remote Desktop cliënten te werken zo snel mogelijk. Houd in gedachten dat Group Policy-instellingen zijn standaard uitgeschakeld om de connectiviteit problemen te voorkomen. Om te leren hoe om hen in staat, gebruikers moeten de instructies van het volgen hier.
De update werd uitgegeven op maart 2018's “Patch Tuesday”, de algehele beveiligingsupdate vaste een totaal van 75 kwesties.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: