Журнал о технике

В нaстoящee врeмя в Интeрнeтe дoступнo бoлee 15 тыс. уязвимыx RDP Gateway сeрвeрoв.

Нидeрлaндский исслeдoвaтeль, испoльзующий псeвдoним Ollypwn, oпубликoвaл PoC-кoды для двух критических уязвимостей (CVE-2020-0609 и CVE-2020-0610) в шлюзовом сервере удаленного рабочего стола Windows RD Gateway в Windows Server (2012, 2012 R2, 2016 и 2019).

Вышеупомянутые проблемы, получившие коллективное название BlueGate, представляют собой уязвимости предаутентификационного удаленного выполнения кода. Обе были исправлены Microsoft в рамках январского выпуска обновлений безопасности.

Согласно описанию техногиганта, «уязвимость проявляется при подключении неавторизованным пользователем к целевой системе по RDP и отправке специально сформированного пакета». Проблема затрагивает только транспортный уровень UDP (порт UDP 33910), а ее эксплуатация не требует взаимодействия с пользователем.

Опубликованные Ollypwn эксплоиты предоставляют возможность вызвать отказ в обслуживании на уязвимых системах. Кроме того, они также содержат встроенный сканер для проверки систем на наличие уязвимостей CVE-2020-0609 и CVE-2020-0610.

Известный эксперт Маркус Хатчинс (Marcus Hutchins) также предложил сканер для проверки систем на уязвимость. Отмечается, что инструмент являляется демонстрационным и не предназначен для широкого применения.

На данный момент нет информации о попытках эксплуатации вышеуказанных уязвимостей. Согласно результатам поиска Shodan, в настоящее время в Интернете доступно более 15 тыс. уязвимых RDP Gateway серверов. Для защиты от потенциальной эксплуатации эксперты рекомендуют установить соответствующие обновления либо отключить UDP или защитить порт UDP (порт 3391) межсетевым экраном.

Шлюз удаленных рабочих столов – решение для предоставления услуг виртуального рабочего стола внешним пользователям для доступа к внутренним ресурсам. RD Gateway способен защищать связь с клиентами через туннель SSL и может использовать HTTP или UDP в качестве транспортного уровня.

Источник