Silverredeemer

Microsoft исправила непризнанную сначала уязвимость в RDP ( 1 фото )


Microsoft исправила непризнанную сначала уязвимость в RDP Интернет и компьютер,hyper-v,microsoft,rdp,уязвимость

Компания выпустила патч, когда стало известно, что уязвимость также затрагивает Hyper-V.

Уязвимость обхода каталога в Microsoft Remote Desktop Protocol (RDP) позволяет удаленно выполнить произвольный код и обойти виртуальную машину под управлением технологии виртуализации Hyper-V, используемой в Azure и Windows 10. Microsoft было известно об уязвимости в RDP в течение года, однако она выпустила исправление только недавно, когда стало известно, что проблема также затрагивает Hyper-V.

В феврале нынешнего года специалист компании Check Point Эйал Иткин (Eyal Itkin) опубликовал подробности об уязвимости в рамках более обширного исследования множественных уязвимостей в RDP. Его интересовала возможность осуществления реверсивной атаки на RDP, когда отвечающий за удаленное подключение сервер получает контроль над клиентом. Эти атаки возможны, поскольку обе машины, подключенные друг к другу с помощью RDP, используют общий буфер обмена данными. Другими словами, все скопированное с сервера может быть вставлено в локальном клиенте.

Связь между технологией виртуализации и технологией для доступа к удаленному рабочему столу может быть не видна сразу. Тем не менее, в случае с Hyper-V первая опирается на вторую для улучшения функциональности.

Режим расширенного сеанса (Enhanced Session Mode) в Hyper-V позволяет подключаться к виртуальной машине по RDP и обмениваться файлами. При активированном режиме расширенного сеанса связь между виртуальной машиной и RDP становится очевидной, так как обе технологии используют одно окно с настройками.

Иткин использовал для атаки на Hyper-V написанный им скрипт для эксплуатации уязвимости в RDP, и он сработал. В частности, исследователю удалось осуществить обход виртуальной машины по принципу «гость-к-хосту».

Уязвимости был присвоен идентификатор CVE-2019-0887, и в июле Microsoft исправила ее.

Взято: Тут

+1534
  • 0
  • 1 160
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno