A Microsoft lançou hoje um conjunto de correções para os Serviços de Área de Trabalho Remota que incluem duas vulnerabilidades críticas de Execução de Código Remoto (RCE), CVE-2019-1181 e CVE-2019-1182. Como a vulnerabilidade 'BlueKeep' corrigida anteriormente (CVE-2019-0708), essas duas vulnerabilidades também são 'wormable', o que significa que qualquer malware futuro que explore essas vulnerabilidades pode se propagar de um computador vulnerável para um computador vulnerável sem interação do usuário.
As versões afetadas do Windows são o Windows 7 SP1, o Windows Server 2008 R2 SP1, o Windows Server 2012, o Windows 8.1, o Windows Server 2012 R2 e todas as versões compatíveis do Windows 10, incluindo as versões do servidor.
O Windows XP, o Windows Server 2003 eo Windows Server 2008 não são afetados, nem o próprio RDP (Remote Desktop Protocol) é afetado.
Essas vulnerabilidades foram descobertas pela Microsoft durante o fortalecimento dos Serviços de Área de Trabalho Remota como parte de nosso foco contínuo no fortalecimento da segurança de nossos produtos. No momento, não temos evidências de que essas vulnerabilidades sejam conhecidas de terceiros.
É importante que os sistemas afetados sejam corrigidos o mais rápido possível, devido aos riscos elevados associados a vulnerabilidades do tipo wormable, e os downloads para eles podem ser encontrados no Guia de atualização de segurança da Microsoft. Os clientes com atualizações automáticas ativadas são automaticamente protegidos por essas correções.
Há mitigação parcial nos sistemas afetados que possuem NLA (Autenticação de Nível de Rede) ativada. Os sistemas afetados são mitigados contra malware "wormable" ou ameaças avançadas de malware que podem explorar a vulnerabilidade, pois o NLA exige autenticação antes que a vulnerabilidade possa ser disparada. No entanto, os sistemas afetados ainda estarão vulneráveis à exploração de Execução Remota de Código (RCE) se o invasor tiver credenciais válidas que possam ser usadas para autenticar com êxito.