Último aviso para aplicar as atualizações de segurança de novembro da Microsoft para os Windows Servers.
Em um relatório divulgado hoje, pesquisadores de segurança finalmente revelaram detalhes detalhados sobre um bug que a Microsoft corrigiu em novembro passado, e que eles dizem que pode permitir que hackers sequestrem as instalações do Windows Server e usem o WDS (Servidor de Implementação do Windows) para controlar o servidor. e até implantar versões do sistema operacional Windows com backdoor.
De acordo com o Check Point, a vulnerabilidade afeta todos os Windows Servers 2008 SP2 e posteriores e afeta o componente WDS incluído nesses sistemas.
O WDS é o que os administradores de sistemas corporativos usam para implantar sistemas operacionais Windows em uma frota de computadores a partir de um local central - um sistema operacional Windows Server no qual o serviço WDS é executado.
No nível técnico, isso é feito executando um NBP (Network Boot Program) que envia mensagens de pré-inicialização para o PXE (Preboot eXecution Environment) de estações de trabalho locais.
Essas interações entre o servidor e as estações de trabalho são realizadas via TFTP, que significa Trivial File Transfer Protocol, uma versão mais antiga e insegura do protocolo FTP.
Em um artigo técnico publicado hoje, Omri Herscovici, pesquisador de segurança da Check Point Software, disse que no ano passado ele analisou como a Microsoft implementou esse protocolo no WDS.
O relatório do pesquisador revela o bug real no cerne do CVE-2018-8476 , a vulnerabilidade que a Microsoft corrigiu em novembro passado.
"Não há um problema no próprio protocolo TFTP, apenas em sua implementação por este serviço", disse Herscovici à ZDNet por e-mail.
Depois de confundir a implementação do protocolo no WDS, o pesquisador descobriu que ele poderia criar pacotes malformados que acionariam a execução de códigos maliciosos em instâncias do Windows Server que recebiam respostas de estações de trabalho PXE.
Qualquer invasor na rede local, seja fisicamente ou com controle sobre uma estação de trabalho infectada, pode retransmitir esses pacotes TFTP maliciosos e efetivamente assumir o controle do Windows Server, argumentou Herscovici.
"Teoricamente, se o servidor for exposto externamente, isso também deve funcionar, mas esse serviço é normalmente usado de dentro de uma LAN", disse o pesquisador ao ZDNet .
"O principal fluxo de ataque é uma violação do tipo" porta na parede ". É quando um invasor conecta fisicamente seu laptop a uma porta de rede dentro da empresa - o que é um cenário comum", disse ele.
Se os invasores assumirem o Windows Server, eles terão controle total sobre toda a rede local e poderão usar facilmente o mesmo serviço WDS para implantar versões do Windows com backdoor para sistemas locais.
Nem a Microsoft nem a Herscovici estão cientes de quaisquer ataques durante os quais os hackers tentaram explorar esta vulnerabilidade, mas com o artigo de Herscovici agora disponível, isso pode mudar nos próximos meses.
Se algum administrador do Windows Server tiver atrasado a instalação das atualizações de segurança de novembro de 2018 devido a várias incompatibilidades, esse poderá ser um bom momento para acompanhar seus esforços de correção. Não há soluções alternativas ou atenuações fora da instalação do patch de segurança.
