O protocolo CredSSP (Credential Security Support Provider) foi projetado para ser utilizado pelo RDP (Remote Desktop Protocol) e o WinRM (Windows Remote Management), para trabalhar com o encaminhamento seguro de credenciais criptografadas de um cliente Windows para servidores de destino que farão a autenticação remota do cliente.
Como funciona o ataque?
Descoberto pelos pesquisadores da empresa de cibersegurança, Preempty Security, o problema, descrito no CVE-2018-0886, é uma falha lógica na criptografia do CredSSP, que pode ser explorada através de um ataque chamado Man-in-the-middle em uma rede Wi-Fi ou no acesso físico à rede para retransmitir as credenciais do usuário, e assim, executar código no sistema de destino.
“Um invasor que sequestrou a sessão de um usuário com privilégios suficientes, poderá executar diferentes comandos com privilégios de um administrador local. Isto é especialmente crítico no que diz respeito aos controladores de domínio, onde a maioria das operações utilizando a tecnologia de Chamada de Procedimento Remoto (DCE/RPC) estão habilitadas por padrão”, diz Yaron Zinar, pesquisador líder de segurança da Preempt.
Isso poderia deixar as empresas vulneráveis a uma variedade de ataques, incluindo Movimento Lateral de Rede, infecção em servidores críticos ou controladores de domínio, dentre outros.
Uma vez que o RDP seja o mais popular meio para executar acesso/login remoto em quase todos os clientes corporativos que possuam suporte ao RDP, isso torna a maioria das redes vulneráveis a este tipo de problema de segurança.
A Microsoft foi avisada
Os pesquisadores da Preempt, em agosto de 2017, descobriram e divulgaram para a Microsoft esta vulnerabilidade desconhecida de execução de código, mas a Microsoft emitiu hoje um comunicado referente a correção do protocolo, como parte do March 2018 Patch Tuesday, quase 7 meses após a descoberta.
Como se proteger?
Para as empresas se protegerem contra a exploração do CredSSP, recomenda-se que sejam aplicados os patches nas estações de trabalho e servidores por meio das atualizações disponibilizadas pela Microsoft.
Embora os pesquisadores também tenham avisado que o patch por si só não seja suficiente para evitar o ataque, recomenda-se que profissionais de TI realizem alguma configuração para aplicar o patch e deixar o ambiente protegido.
O bloqueio de portas de determinados aplicativos/tecnologias, incluindo o RDP e o DCE/RPC, também poderá frustrar o ataque, mas dizem os pesquisadores, que este ataque pode ser implementado por outros meios, utilizando diferentes protocolos.
Portanto, para proteger a sua rede com eficiência, é uma boa prática restringir o uso de contas privilegiadas (de administrador por exemplo) tanto quanto possível, e em vez disso, utilizar contas não privilegiadas quando necessário.
Como parte do March 2018 Patch Tuesday,, a Microsoft também liberou atualizações de segurança para outros produtos, incluindo o navegador Internet Explorer e Edge, Windows, Office, PowerShell, ChakraCore e o Adobe Flash Player.
Fonte
https://thehackernews.com/2018/03/credssp-rdp-exploit.html
https://technet.microsoft.com/pt-br/security/bulletins
https://support.microsoft.com/pt-br/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018
O que achou?
