No dia 14/05/19, a Microsoft lançou correções para uma vulnerabilidade crítica de Execução Remota de Código, CVE-2019-0708, nos Serviços de Área de Trabalho Remota – anteriormente conhecidos como Serviços de Terminal – que afeta algumas versões mais antigas do Windows. O protocolo RDP (Remote Desktop Protocol) em si não é vulnerável. Esta vulnerabilidade é pré-autenticação e não requer interação do usuário. Em outras palavras, a vulnerabilidade é ‘wormable’, o que significa que qualquer malware futuro que explora essa vulnerabilidade pode se propagar de um computador vulnerável para um computador vulnerável de maneira semelhante ao malware WannaCry espalhado pelo mundo em 2017. Embora não tenhamos observado nenhuma exploração dessa vulnerabilidade, é altamente provável que os agentes mal-intencionados gravem essa exploração e a incorporem em seu malware.
Agora que tenho sua atenção, é importante que os sistemas afetados sejam corrigidos o mais rápido possível para evitar que esse cenário aconteça. Em resposta, estamos dando o passo incomum de fornecer uma atualização de segurança para todos os clientes para proteger as plataformas Windows, incluindo algumas versões fora de suporte do Windows.
Os sistemas de suporte vulneráveis incluem o Windows 7, o Windows Server 2008 R2 e o Windows Server 2008. As transferências para versões de suporte do Windows podem ser encontradas no Guia de atualização de segurança da Microsoft. Os clientes que usam uma versão de suporte do Windows e têm atualizações automáticas ativadas são automaticamente protegidos.
Os sistemas fora de suporte incluem o Windows 2003 e o Windows XP. Se você estiver em uma versão fora do suporte, a melhor maneira de solucionar essa vulnerabilidade é atualizar para a versão mais recente do Windows. Mesmo assim, estamos disponibilizando correções para essas versões fora de suporte do Windows no KB4500705.
Os clientes que executam o Windows 8 e o Windows 10 não são afetados por essa vulnerabilidade e não é coincidência que versões posteriores do Windows não sejam afetadas. A Microsoft investe fortemente no fortalecimento da segurança de seus produtos, muitas vezes por meio de grandes melhorias na arquitetura que não são possíveis para backport para versões anteriores do Windows.
Há mitigação parcial nos sistemas afetados que possuem NLA (Autenticação de Nível de Rede) ativada. Os sistemas afetados são mitigados contra malware “wormable” ou ameaças avançadas de malware que podem explorar a vulnerabilidade, pois o NLA exige autenticação antes que a vulnerabilidade possa ser disparada. No entanto, os sistemas afetados ainda estarão vulneráveis à exploração de Execução Remota de Código (RCE) se o invasor tiver credenciais válidas que possam ser usadas para autenticar com êxito.
E por estas razões que aconselhamos vivamente que todos os sistemas afetados – independentemente de a NLA estar ou não ativada – devem ser atualizados o mais rapidamente possível.
Fonte: Microsoft