08.03.2019 13:30
Occul
 



Компания Check Point наконец-то представила подробности об уязвимости в Windows Server, исправленной Microsoft в прошлом ноябре. Уязвимость позволяет злоумышленникам взломать установку Windows Server и через Windows Deployment Services (WDS) получить контроль над сервером и даже установить вредоносные версии Windows.

По словам исследователей, проблема затрагивает WDS в версии Windows Server 2008 SP2 и более поздних. WDS представляет собой компонент, используемый системными администраторами для развертывания Windows на компьютерах в сети из одной центральной точки – Windows Server, на которой запущен WDS.

На техническом уровне развертывание происходит с помощью инструмента Network Boot Program (NBP), отправляющего сообщения на PXE (Preboot eXecution Environment) локальных рабочих станций. Связь между сервером и рабочими станциями осуществляется по протоколу TFTP – более старой и небезопасной версии протокола FTP.

Как пояснили исследователи, проблема ( CVE-2018-8476 ) заключается не в самом протоколе TFTP, а в его реализации в WDS. Отправив особым образом сконфигурированные TFTP-пакеты, злоумышленник может выполнить произвольный код на установке Windows Server, получающей ответы от PXE. При наличии у него физического или удаленного доступа к уязвимой рабочей станции атакующий сможет получить доступ к Windows Server.

Захватив контроль над Windows Server, злоумышленник получит контроль над всей локальной сетью и сможет использовать тот же сервис WDS для развертывания вредоносных версий Windows на локальных системах.

Пока что никаких сведений об эксплуатации уязвимости в реальных атаках не поступало. Тем не менее, учитывая выход отчета Check Point, уже совсем скоро все может измениться, поэтому системным администраторам, не установившим ноябрьский патч, настоятельно рекомендуется сделать это как можно скорее.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.