Microsoft планує блокувати RDP-з'єднання для вразливих серверів
Microsoft розповіла, як не втратити доступ до серверів під Windows
Microsoft планує блокувати RDP-з'єднання для вразливих серверів. Якщо на клієнтській або серверній стороні не будуть встановлені оновлення до вразливості CVE-2018-0886, з травня 2018 р. RDP-з'єднання для таких серверів стануть недоступними.
Корпорація Microsoft планує блокувати спроби RDP-з'єднання (протокол віддаленого робочого столу) з серверами під керуванням Windows Server з боку клієнтів, які не встановили патч до нещодавно виправленої вразливості.
Справа стосується вразливості CVE-2018-0886, виправленої у нещодавньому оновленні для Windows. Вразливість у протоколі Credential Security Support Provider (CredSSP – провайдер підтримки безпеки облікових даних) допускала віддалений запуск довільного коду на вразливій системі. Помилка була пов'язана з тим, як CredSSP обробляв запити на авторизацію. Іншими словами, хакер за допомогою атаки "людина посередині" могла направляти серверу довільні команди, видаючи себе за легітимного користувача або навіть адміністратора.
Вразливість була присутня в Microsoft Windows Server 2008 SP2 і R2 SP1, Windows 7 SP1, Windows 8.1 і RT 8.1, Windows Server 2012 і R2, Windows 10 Gold, версіях 1511, 1607, 1703 і 1709 Windows Server 2 Server версії 1709.
У документації до патчу написано, що заходи з виправлення повинні включати оновлення відповідних ОС у клієнтів і на сервері, а також використання настройок групової політики (Group Policy) або аналогів для роботи з реєстром — для управління налаштуваннями на клієнтських комп'ютерах і на сервер. «Ми рекомендуємо адміністраторам встановити запропоновану політику та виставити в ній значення „Примусове оновлення клієнтів" (Force updated clients) або "Виправлено" (Mitigated) якнайшвидше», — зазначають розробники.
Значення Force Updated Clients і Mitigated мають на увазі, що служби, що використовують CredSSP, не прийматимуть з'єднання від клієнтів, у яких не встановлені оновлення, тоді як клієнтські програми неможливо відкочувати до ранніх, вразливих версій.
Якщо адміністратори виставлять значення «вразливий» (Vulnerable), можливість таких з'єднань збережеться. Саме це значення поки що залишається "за замовчуванням". Політика виставляється за адресою: ComputerConfiguration -> AdministrativeTemplates -> System -> CredentialsDelegation.
У документації згадується також, що у квітні-травні 2018 р. Microsoft збирається «накатувати» нові оновлення, які привертатимуть підвищену увагу до невстановлених оновлень — що на стороні клієнта, що на стороні сервера і примусово переведуть політику груп у режим Mitigated. Після цього можливість підключення вразливих клієнтів RDP до сервера буде заблокована повністю.
