29 ene. 2020

Exploit DoS y PoC para vulnerabilidad crítica en Windows RDP Gateway

El investigador de seguridad danés Ollypwn ha publicado un exploit de denegación de servicio de prueba de concepto (PoC) para las fallas CVE-2020-0609 y CVE-2020-0610 que afectan el componente Remote Desktop Gateway (RD Gateway) en Windows Server (2012, 2012 R2, 2016, y 2019).

Si se explotan con éxito, las dos vulnerabilidades podrían permitir a los atacantes no autenticados ejecutar código arbitrario en un sistema vulnerable.
RD Gateway se usa para proteger servidores de escritorio remoto en redes internas desde conexiones de Internet y solo para permitir que los que se autentican con éxito en la puerta de enlace lleguen al servidor. Las dos vulnerabilidades, denominadas colectivamente BlueGate por Ollypwn, fueron parcheadas por Microsoft el pasado 14 de enero, y ambas fueron calificadas como críticas.

Además de la capacidad de activar un estado de denegación de servicio en sistemas no parcheados, la PoC del investigador también viene con un escáner incorporado para verificar si un host es vulnerable a los intentos de explotación CVE-2020-0609 y CVE-2020-0610. Otro investigador de seguridad, Marcus Hutchins, también compartió un escáner para verificar las mismas fallas.

Aunque todavía no hay signos de que los atacantes escaneen activamente en busca de servidores de Gateway RDP vulnerables, se puede acceder a más de 15.500 de ellos a través de Internet de acuerdo con un escaneo de Shodan dirigido a servidores con el puerto UDP 3391 abierto. Esto significa que hay miles de objetivos potenciales para un atacante que logra crear un exploit de RCE que funcione.

Para defenderse de posibles ataques futuros dirigidos a servidores RD Gateway sin parches, deben instalar las actualizaciones de seguridad que Microsoft emitió este mes, disponibles para descargar desde
aquí and aquí.

En los sistemas donde el parche no se puede instalar, exiten medidas de mitigación para bloquear los intentos de explotación de BlueGate. "Simplemente se puede deshabilitar el transporte UDP, (generalmente en el puerto 3391) y eso ya es suficiente para evitar la explotación", dijo Hutchins en un análisis de las fallas publicado a principios de este mes. "Esto se debe a que, si bien RDG admite los protocolos HTTP, HTTPS y UDP [...] las vulnerabilidades solo existen en el código responsable de manejar UDP".


Fuente: BC

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!