CVE-2018-0886 é o identificador de uma falha crítica encontrada em Provedor de Suporte de Segurança Credencial (CredSSP). A vulnerabilidade afeta todas as versões do Windows e permite que hackers maliciosos acesso remoto para explorar RDP (Protocolo área de trabalho remota) e WinRM (Windows Remote Management).
CVE-2018-0886 – Detalhes técnicos
Após uma exploração bem-sucedida, hackers podem executar códigos maliciosos e roubar dados confidenciais de sistemas comprometidos. A falha foi divulgada por pesquisadores da Preempt Security.
“Existe uma vulnerabilidade de execução remota de código no protocolo Credential Security Support Provider (CredSSP). Um invasor que explorar com êxito essa vulnerabilidade poderá retransmitir credenciais do usuário e usá-las para executar o código no sistema de destino”, Microsoft explicou.
Deve-se notar que o CredSSP é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos. Isso deixa qualquer aplicativo, dependendo do CredSSP, para autenticação vulnerável a esse ataque.
Conforme explicado pela Microsoft diz este:
Como um exemplo de como um invasor exploraria essa vulnerabilidade no Protocolo de Área de Trabalho Remota, o invasor precisaria executar um aplicativo especialmente criado e executar um ataque man-in-the-middle contra uma sessão do Remote Desktop Protocol. Um intruso poderia então instalar programas; Visão, mudança, ou dados de exclusão; ou criar novas contas com direitos totais de usuário.
Mais especificamente, quando um cliente e servidor se autenticam via protocolos RDP e WinRM, um ataque man-in-the-middle pode ser iniciado. Esse invasor seria capaz de executar comandos remotamente e comprometer redes inteiras. A exploração dessa vulnerabilidade pode ser bastante severa, dependendo das redes corporativas direcionadas a ataques.
“Um invasor que roubou uma sessão de um usuário com privilégios suficientes pode executar comandos diferentes com privilégios de administrador local. Isso é especialmente crítico no caso de controladores de domínio, onde a maioria das chamadas de procedimento remoto (DCE / RPC) estão habilitados por padrão,” explicou Yaron Zinar, pesquisador de segurança líder na Preempt, a empresa de segurança que encontrou CVE-2018-0886.
Atualização que corrige a vulnerabilidade está disponível
Felizmente, um patch de segurança para resolver a falha já foi lançado. A atualização corrige como o CredSSp valida as solicitações durante o processo de autenticação.
O que os usuários devem fazer para se proteger contra esse ataque? Eles devem habilitar as configurações de Política de Grupo em seus sistemas e atualizar seus clientes de Área de Trabalho Remota o mais rápido possível. Lembre-se de que as configurações de Política de Grupo são desabilitadas por padrão para evitar problemas de conectividade. Para saber como habilitá-los, os usuários devem seguir as instruções apresentadas aqui.
A atualização foi lançada em março de 2018 “patch Tuesday”, a atualização de segurança geral corrigiu um total de 75 problemas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: