Windows RDP Güvenlik Açıklığı (e.inbm.net) – CredSSP Vulnerability Affects RDP and WinRM on All Windows Versions(bleepingcomputer.com)

CredSSP protokolü, bir istemci ve uzak bir sunucu arasında kimlik doğrulama bilgilerini güvenli bir şekilde iletmekten sorumlu Windows’a özel bir mekanizmadır. Uzak Masaüstü Protokolü (RDP) ve Windows Uzaktan Yönetim (WinRM) hizmetinin temel bileşenidir. Saldırgan, kullanıcılar RDP veya WinRM oturumları sırasında kimlik doğrulaması yapmaya çalıştığında uzaktan komutları yürüterek CredSSP güvenlik açığından yararlanabilir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, kullanıcı kimlik bilgilerini geçirebilir ve bunları hedef sistemde kod yürütmek için kullanabilir. Bu açıklığın doğasından dolayı, saldırganın kurbanın trafiğini yakalaması için ortadaki adam(man-in-the-middle) konumunda olması gerekir. Bu durum saldırganın iç ağ üzerinde bir tutunma noktası olmasıyla ya da kurbanın RDP oturumunu yayınlayan ISP seviyesinde sunucuyu kontrol etmesiyle meydana gelebilir. Güvenlik açığı ilk olarak Ağustos 2017’de Microsoft tarafından not edildi. Microsoft, kusurun tüm Windows sürümlerini bugüne kadar etkilediğini yazdı ve uzak oturum bağlantısı açmak için en popüler uygulamanın RDP olduğu göz önüne alındığında sorunun büyük olduğu görülmektedir. Microsoft, 13 Mart 2018’de yamalanan CVE-2018-0886 güvenlik açığı için CredSSP güncellemelerini oluşturdu. Microsoft tarafından yayınlanan düzeltme eki, kimlik doğrulama işlemi sırasında CredSSP isteklerinin doğrulama biçimini düzelterek bu güvenlik açığını gidermektedir. Bu ve benzeri zararlı yazılımlardan ve güvenlik açıklıklardan korunmak için müşterilerimizin kullanmış oldukarı AV, IPS ve Web Filtering sistem / yazılımlarını ve işletim sistemlerini güncel tutmalarını öneriyoruz. (EN Versiyon at bottom)

The March 2018 Patch Tuesday contains a fix for a severe vulnerability affecting the CredSSP protocol; a vulnerability that affects all Windows versions ever released.

Security researchers from Preempt say the flaw (CVE-2018-0886) can be abused to run remote commands on gain control over Windows domain controllers, and then expand access to other systems. The research team describes the vulnerability as a “logic” bug in CredSSP.

Vulnerability affects protocol at the heart of RDP & WinRM

The Credential Security Support Provider (CredSSP) protocol is a Windows-specific mechanism that is responsible for securely forwarding authentication credentials between a client and a remote server in an internal network/domain.

CredSSP is a core component of the Remote Desktop Protocol (RDP) and the Windows Remote Management (WinRM) service, both of which are vulnerable to exploitation.

According to a video and a report shared with Bleeping Computer before publication, an attacker can exploit the CredSSP vulnerability to execute remote commands when users are trying to authenticate during RDP or WinRM sessions.

Attacker need MitM position

Because of the nature of this flaw, the attacker needs to have a man-in-the-middle (MitM) position to intercept the victim’s traffic. This either means the attacker must have a foothold on an internal network, or control an ISP-level server that relays the victim’s RDP session.

But while a MitM condition was a problem for attackers in the past, compromising internal networks to get a local foothold for MitM attacks has become quite easy in recent years due to the proliferation of IoT devices that often remain unpatched, leaving gaping holes in companies’ defenses.

IoT devices, KRACK, and ARP poisoning help attackers with MitM attacks and make this vulnerability a viable method of escalating an intruder’s local access and gaining a more firm foothold on compromised networks by taking over the local domain controllers.

Preempt: Flaw suitable for targeted attacks

“There will be a time window when this can be possibly exploited on a large number of machines, but this method matches mostly targeting attacks due to the requirement for MiTM techniques,” the Preempt team told Bleeping Computer today in an email.

The team highlights that a high-degree of technical knowledge is needed to exploit this flaw, knowledge that only a few attackers possess.

Researchers, who told us they discovered the flaw while analyzing and researching the authentication for Microsoft’s Remote Desktop Protocol, recommend that victims apply this month’s Patch Tuesday security updates to prevent any future attempts of exploitation.

The article will be updated with links to Preempt’s in-depth technical report at a later time, after it becomes publicly available. Update: The Preempt team has published a technical report here.