Kritisk sårbarhet i Windows Remote Desktop Protocol

0 Shares

Fjärranslutning

Forskare vid hotförebyggande specialist Preempt har upptäckt ett fel i Credential Security Support Provider-protokollet (CredSSP), som används av Remote Desktop och WinRM i deras autentiseringsprocesser.

En angripare med man-i-mitten-kontroll över sessionen kan använda detta för att få förmågan att fjärrköra kod på den komprometterade servern som maskeras som en legitim användare.

Med fjärrskrivbord ett populärt program för att utföra fjärrinloggningar, utgör denna sårbarhet ett stort problem. Detta kan göra att företag är utsatta för olika hot från angripare, inklusive sidorörelse och infektion på kritiska servrar eller domänkontrollanter. Sårbarheten påverkar alla Windows-versioner som går tillbaka till Vista.

“Denna sårbarhet är en stor sak, och även om inga attacker har upptäckts i naturen, finns det några verkliga situationer där attacker kan inträffa”, säger Roman Blachman, CTO och grundare av Preempt. “Att se till att dina arbetsstationer är lappade är det logiska första steget för att förhindra detta hot. Det är viktigt för organisationer att använda lösningar för hotreaktion i realtid för att mildra dessa typer av hot.”

För att skydda sig själva rekommenderas företag att se till att arbetsstationer och servrar är korrekt korrigerade. IT-proffs måste också göra en konfigurationsändring för att applicera korrigeringsfilen och skyddas. Att blockera relevanta applikationsportar (RDP, DCE / RPC) skulle också hindra attacker. Preempt varnar dock för att denna attack kan genomföras på olika sätt, även med hjälp av olika protokoll. Det är därför en bra idé att minska privilegierad kontoanvändning så mycket som möjligt och använda icke-privilegierade konton när så är tillämpligt.

Mer information om sårbarheten finns på Preempt-bloggen.

Fotokredit: Korn / Shutterstock

0 Shares