Microsoft sårbarheter
I årets første runde med patcher retter Microsoft tre sårbarheter i Remote Desktop Gateway (RDG). To av disse, CVE-2020-0609 og CVE-2020-0610, er kritiske og gir en angriper mulighet til å kjøre kode på maskinen uten behov for autentisering. For begge sårbarhetene skriver Microsoft: «An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.»
Sårbarheten er tilstede i RDG på alle Microsofts server operativsystem fra Server2012 til Server2019.
Dersom din virksomhet har RDG eksponert mot internett direkte uten VPN, NetScaler el.l foran er det kritisk å få lagt på patchene.
Ettersom denne sårbarheten er kjent, vil den bli utnyttet av trusselaktører. Vi ser at tiden det tar fra en sårbarhet publiseres til den utnyttes offensivt stadig minsker. Patcher plukkes fra hverandre og hullene de tetter utnyttes. Ofte publiseres eksempelkode på github kun dager etter at en sårbarhet er gjort kjent. Dette gir utfordringer for driftsorganisasjoner underlagt et regime med rigide prosesser som skal følges og forhåndsdefinerte vedlikeholdsvindu.
Patch alt alltid og gjør det snarest!
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609
Oppdatering 27/1/20:
Denne gangen tok det 10 dager fra sårbarhetene ble offentliggjort til kode for å søke etter sårbarheten og konseptuell kode for å utnytte dem ble publisert på Github. En dansk researcher som kaller seg «ollypwn» publiserte kode fredag 24.1. som viser et tjenestenektangrep mot RDG.