CVE-2018-0886 attenuazione per un server RDP non replicabile

5

Un client Windows 10 aggiornato si connette a un host RDP di Windows 10 bloccato a 1511 (l'host non può essere aggiornato e 1511 non supporta la ricezione di patch come la mitigazione CVE-2018-0886 ).

Che cosa esattamente sta succedendo sull'esposizione pubblica? C'è un altro modo per mitigare l'esposizione se non l'installazione di una patch software?

Specificamente: la mia comprensione è che CVE-2018-0886 richiede una configurazione man-in-the-middle per iniziare un attacco. Se il client e l'host sono entrambi collegati a provider affidabili, lascia comunque un'opportunità per un MITM (nodi intermedi tra i provider)?

Inoltre: quando si avvia una connessione RDP, spesso viene richiesto di accettare un certificato (come mostrato in questa domanda ), e sembra riapparire di volta in volta tra la stessa coppia di client e host. Questo mi suggerisce che l'host RDP sta generando e periodicamente rigenerando un certificato autofirmato, che mi sembra essere il punto in cui un MITM può inserirsi. Esiste una procedura mediante la quale l'host può generare un certificato di lunga durata (anche se autofirmato) che può essere trasferito a un client (tramite connessione protetta) in modo che venga mantenuta la relazione di fiducia (nessun prompt di fiducia di un autofirmato cert sopra una connessione discutibile)? E, nel fare questo, non attenua la vulnerabilità CVE-2018-0886 senza dover fare patching?

    
posta Zenilogix 19.06.2018 - 05:39
fonte

1 risposta

0

Certs non ti salverà. L'unica mitigazione di cui sono a conoscenza sono le patch.

Consentitemi di citare le persone che hanno scoperto questo CVE: link

Sfruttare la vulnerabilità del relay NTLM era possibile a causa del modo in cui RDP è implementato. Diamo un'occhiata al processo:

  1. Negoziazione su capacità (solitamente viene scelto CredSSP)
  2. TLS è stato stabilito
  3. Network Layer Authentication (NLA) viene eseguito utilizzando CredSSP
  4. Il client verifica il certificato, visualizzando un avviso se necessario

Le credenziali vengono inviate nel passaggio 3 sopra elencato e il certificato è verificato nel passaggio 4. Ahi. Ciò significa che un'attuazione basata su certificati è troppo tardi: quando realizzi che il certificato è errato, hai già inviato credenziali.

Non sono sicuro di cosa sta succedendo con il richiamo del certificato.

    
risposta data 19.06.2018 - 17:25
fonte

Leggi altre domande sui tag