Windows Server можно взломать с помощью TFTP-пакетов

0

Раскрыты подробности об уязвимости в компоненте WDS, исправленной Microsoft в прошлом ноябре.

Компания Check Point наконец-то представила подробности об уязвимости в Windows Server, исправленной Microsoft в прошлом ноябре. Уязвимость позволяет злоумышленникам взломать установку Windows Server и через Windows Deployment Services (WDS) получить контроль над сервером и даже установить вредоносные версии Windows.

По словам исследователей, проблема затрагивает WDS в версии Windows Server 2008 SP2 и более поздних. WDS представляет собой компонент, используемый системными администраторами для развертывания Windows на компьютерах в сети из одной центральной точки – Windows Server, на которой запущен WDS.

На техническом уровне развертывание происходит с помощью инструмента Network Boot Program (NBP), отправляющего сообщения на PXE (Preboot eXecution Environment) локальных рабочих станций. Связь между сервером и рабочими станциями осуществляется по протоколу TFTP – более старой и небезопасной версии протокола FTP.

Как пояснили исследователи, проблема ( CVE-2018-8476 ) заключается не в самом протоколе TFTP, а в его реализации в WDS. Отправив особым образом сконфигурированные TFTP-пакеты, злоумышленник может выполнить произвольный код на установке Windows Server, получающей ответы от PXE. При наличии у него физического или удаленного доступа к уязвимой рабочей станции атакующий сможет получить доступ к Windows Server.

Захватив контроль над Windows Server, злоумышленник получит контроль над всей локальной сетью и сможет использовать тот же сервис WDS для развертывания вредоносных версий Windows на локальных системах.

Пока что никаких сведений об эксплуатации уязвимости в реальных атаках не поступало. Тем не менее, учитывая выход отчета Check Point, уже совсем скоро все может измениться, поэтому системным администраторам, не установившим ноябрьский патч, настоятельно рекомендуется сделать это как можно скорее.