В рамках первого «вторника обновлений» в этом году специалисты Microsoft исправили и две критические уязвимости, которые влияют на Windows Server 2012, 2016 и 2019: CVE-2020-0609 и CVE-2020-0610. Согласно сообщению компании, компонент Windows Remote Desktop Gateway (RD Gateway, ранее Terminal Services Gateway) уязвим перед удаленным выполнением кода, что позволяет злоумышленникам захватывать уязвимые Windows-серверы, посредством RDP и специально созданных запросов.
Первый технический анализ этих проблем был опубликован ИБ-специалистом Маркусом Хатчинсом (он же MalwareTech), который также обнародовал исходный код сканера для проверки серверов на уязвимость.
Теперь другие исследователи представили первые эксплоиты для свежих уязвимостей. Так, первым был датский специалист, известный под псевдонимом Ollypwn. Он назвал пару уязвимостей общими именем BlueGate и на прошлой неделе обнародовал PoC-эксплоиты для CVE-2020-0609 и CVE-2020-0610, которые позволяют спровоцировать отказ в обслуживании (DoS).
Затем эксперт компании InfoGuard AG Лука Марчелли продемонстрировал собственный эксплоит, но уже обеспечивающий удаленное выполнение кода. Пока код эксплоита Марчелли еще не опубликован в открытом доступе, так как специалист работает над полноценной статьей для своего блога и хочет дать пользователям больше времени на установку патчей. Тем не менее, демонстрацию работы эксплоита можно увидеть ниже.
Ladies and gentlemen, I present you a working Remote Code Execution (RCE) exploit for the Remote Desktop Gateway (CVE-2020-0609 & CVE-2020-0610). Accidentally followed a few rabbit holes but got it to work! Time to write a blog post 😉
— Luca Marcelli (@layle_ctf) January 26, 2020
Don't forget to patch! pic.twitter.com/FekupjS6qG
Хотя злоумышленники еще не начали активно искать и пытаться атаковать уязвимые серверы, согласно данным Shodan, таковых насчитывается почти 20 000, так что атаки вряд ли заставят себя ждать.
