Na última semana, durante um hardening, a Microsoft descobriu duas falhas que podem ser exploradas por malwares no seu protocolo de Remote Desktop. Ambas as vulnerabilidades são graves e permitem que um atacante veja, modifique ou apague dados, instale programas ou até mesmo contas com direitos completos de usuário no dispositivo afetado.
Explorada através de pacotes especialmente criados para atacar o RDP, a vulnerabilidade é pré-autenticada, não necessita de nenhuma interação por parte dos usuários e, desta forma, pode ser inserida em worms e frameworks. A vulnerabilidade afeta os sistemas Windows 7, Windows 8, Windows 10, Windows Server 2008 R2, Windows Server 2012, Windows Server 2016, Windows Server 2019 e suas versões 32/64 bits
Alguns workarounds possíveis:
- Habilitar o Network Level Authentication nos ativos com RDP habilitado: desta forma, o atacante necessita de credenciais válidas para se autenticar antes de explorar a falha
- Bloquear a porta 3389 no firewall de borda: esta medida apenas impede que atacantes externos consigam explorar os sistemas, mas o dispositivo continua vulnerável internamente
- Filtrar origens externas por IP com a porta 3389 no firewall de borda: esta medida tem como objetivo reduzir o escopo de acesso externo, porém os sistemas continuam vulneráveis e podem ser explorados externamente em caso de spoofing.
Recomendamos o update imediato de todos os sistemas mencionados acima. Os workarounds devem ser utilizados caso não seja possível o update imediato ou a utilização de tecnologias de segurança com virtual patch com atualização para CVE-2019-1181 e CVE-2019-1182.
Mais informações sobre as vulnerabilidades:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
