Пользователи Windows, которые не установят на свои машины мартовское обновление безопасности, не смогут применять протокол удаленного доступа (Remote Desktop Protocol, RDP). Эта мера призвана ограничить эксплуатацию критической уязвимости CVE-2018-0886, позволяющей злоумышленникам взломать систему и свободно перемещаться по сетевой инфраструктуре.

Недавний апдейт устраняет ошибку в протоколе CredSSP (Credential Security Support Provider), который отвечает за безопасную передачу учетных данных между клиентом и удаленным сервером. Брешь позволяла злоумышленнику вести атаки типа Man-in-the-Middle и запускать на целевой машине произвольный код от лица пользователя или администратора. Проблема затрагивала версии ОС Windows и Windows Server, выпущенные с 2008 года.

В описании патча Microsoft рекомендует системным администраторам оперативно установить обновления и изменить групповые политики таким образом, чтобы заблокировать подключение уязвимых компьютеров к серверу.

Компания анонсировала два дополнительных патча, которые также будут связаны с CVE-2018-0886. В апреле Microsoft изменит текст ошибки, которая появляется при попытке удаленного доступа к необновленному серверу. После майского апдейта администраторам не понадобится менять групповые политики вручную — серверы «по умолчанию» будут отказывать в подключении непропатченным клиентам. Эксперты компании Preempt, которые первыми описали уязвимость, сообщили, что после этого ее невозможно будет эксплуатировать.

Ранее протокол удаленного доступа уже оказывался в новостях в связи с атаками вымогателей. Согласно опубликованному в начале марта исследованию компании Webroot, в двух случаях из трех троян-шифровальщик попадает в компанию именно через RDP-подключение (в последнем проникновение происходит через электронную почту). В 2017 году этот метод использовали такие зловреды, как Satan, Bucbi, Apocalypse, Shade.

Следуя общей тенденции, некоторые вирусописатели переориентируют свои продукты на RDP-атаки. Так, в феврале ИБ-специалисты обнаружили новую версию трояна Scarab, использующую этот способ проникновения в сеть, в то время как зловреды первого поколения распространялись через ботнет Necurs.

В ноябре 2017 года исследование компании Sophos показало, что особенно часто через удаленное подключение шифровальщики попадают в компании малого и среднего бизнеса. Причина в слабых парольных политиках, которые позволяют злоумышленникам проникнуть в инфраструктуру при помощи примитивного брутфорса.

Категории: Кибероборона, Уязвимости