Microsoft правила, правила и .... не исправила


Проблемы связанные с уязвимостью RDP сессий в Windows известны достаточно давно. Microsoft не спешила исправлять проблемы, но в прошлом году, они все же выпустили патч, который должен был устранить все проблемы, но как оказалось - прошлогодний патч для уязвимости CVE-2019-0887 оказался недостаточно эффективным.

Выпущенное прошлым летом компанией Microsoft исправление для уязвимости обхода каталога в RDP ( CVE-2019-0887 ) оказалось очень легко обойти – достаточно было заменить обратные слэши обычными. Проблема получила собственный идентификатор CVE-2020-0655 и была исправлена Microsoft в рамках февральского «вторника исправления».

Уязвимость позволяла зараженному вредоносным ПО удаленному компьютеру захватить контроль над любым клиентом, пытающимся к нему подключиться. К примеру, если IT-специалист пытался подключиться к зараженному вредоносным ПО корпоративному компьютеру, вредонос мог атаковать и его компьютер тоже.

По данным исследователей компании Check Point, Microsoft исправила уязвимость, добавив обходные пути в Windows, при этом оставив причину проблемы, функцию API PathCchCanonicalize, неизменной. Патч хорошо работает в отношении встроенного в Windows RDP-клиента, но недостаточно эффективно защищает сторонние RDP-клиенты.

Как обнаружили исследователи, атакующий может обойти не только патч, но и проверку канонизации, выполняемую в соответствии с лучшими практиками Microsoft. Функция PathCchCanonicalize, упомянутая в руководстве лучших практик канонизации каталогов в Windows, игнорирует слэши. Исследователи обнаружили это во время изучения клиента Microsoft Remote Desktop для Mac, исключенного из их первоначального анализа в прошлом году. Что интересно, RDP-клиент для macOS сам по себе не уязвим к CVE-2019-0887.



Для того, чтобы мы могли качественно предоставить Вам услуги, мы используем cookies, которые сохраняются на Вашем компьютере. Нажимая СОГЛАСЕН, Вы подтверждаете то, что Вы проинформированы об использовании cookies на нашем сайте. Отключить cookies Вы можете в настройках своего браузера.
Согласен