22 января 2020
Серьезные уязвимости в Windows: опасность для систем промышленной автоматизации
Excerpt: Уязвимости затрагивают криптографический модуль crypt32.dll, Windows Remote Desktop Gateway и клиент RDP.
Компания Microsoft сообщила об исправлении уязвимостей в своих продуктах. Всего было исправлено 49 уязвимостей, в том числе восемь критических. Среди них – уязвимость в модуле Windows под названием crypt32.dll, уязвимости в Windows Remote Desktop Gateway (RD Gateway) и клиенте RDP, которые могут нести серьезную опасность для систем промышленной автоматизации.
Уязвимость CVE-2020-0601 была обнаружена специалистами Агентства национальной безопасности США в модуле crypt32.dll, отвечающем за сертификаты и функцию обмена зашифрованными сообщениями в CryptoAPI. Эта брешь затрагивает все версии Windows 10, Windows Server 2019 и Windows Server 2016 и связана с реализацией проверки подлинности сертификатов.
Эта уязвимость может использоваться для подделки цифровых сертификатов. С помощью нее злоумышленник может подписать вредоносный исполняемый файл таким образом, что система примет его за файл из надежного источника. Кроме того, успешная эксплуатация этой уязвимости может также позволить злоумышленнику проводить атаки «человек посередине» и расшифровывать конфиденциальную информацию о пользовательских подключениях.
На следующий день после выхода патча исследователь безопасности Салим Рашид (Saleem Rashid) продемонстрировал PoC (proof of concept) — атаку, реализовав спуфинг сайтов Github и АНБ США в браузерах Edge и Chrome.
Выявленная уязвимость может представлять опасность для систем промышленной автоматизации, поскольку операционная система Windows широко распространена и используется в SCADA-системах, на промышленных компьютерах и рабочих станциях операторов и диспетчеров.
По мнению экспертов Kaspersky ICS CERT, более критичными для промышленных систем являются уязвимости в RD Gateway, так как именно этот сервис зачастую бывает точкой входа в промышленную демилитаризованную зону (Industrial DMZ).
Так, уязвимости удаленного выполнения кода CVE-2020-0609 и CVE-2020-0610 позволяют злоумышленнику, не прошедшему проверку подлинности, подключаться к целевой системе с помощью RDP, отправлять специально созданные запросы и выполнять произвольный код. Кроме этого, злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи пользователей.
Еще одна уязвимость удаленного выполнения произвольного кода, CVE-2020-0611, выявлена в клиенте RDP. Эта уязвимость позволяет злоумышленнику выполнить произвольный код на компьютере клиента, подключающемуся к вредоносному серверу. Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется иметь контроль над сервером, а затем убедить пользователя подключиться к нему, например, с использованием методов социальной инженерии, отравления DNS-сервера (DNS poisoning) или посредством атаки Man in the Middle (MITM). Злоумышленник также может скомпрометировать законный сервер, разместить на нем вредоносный код и дождаться подключения пользователя.
С точки зрения систем промышленной автоматизации данная уязвимость представляет опасность для рабочих станций операторов, на которых используется RDP.
Для исправления всех указанных уязвимостей компания Microsoft уже выпустила соответствующие обновления.