После многих отложенных дат прекращения поддержки и, несмотря на недавнее убийство ниши Windows Embedded 2009 POSReady, работа над Windows XP, однако, не прекратилась. В рамках ежемесячного пакета обновлений, известного под неофициальным названием Patch Tuesday, на портале Microsoft MSRC было опубликовано несколько заметок.
Эти заметки относятся к уязвимостям и содержат базовые сведения о дырах, методах защиты, характеристиках обновлений (контрольные суммы, имена файлов) и оценке CVE. Также опубликованы дополнительные материалы, которые можно сравнить с практикой «Примечания к выпуску».
Среди таких дополнительных документов в майской части заметок есть очаровательная статья под названием «Руководство для клиентов CVE-2019-0708. Уязвимость служб удаленного рабочего стола, делающая возможным удаленное выполнение кода: 14 мая 2019 года». Есть ссылки на обновление для Windows XP и Windows Server 2003. Публикация обновлений для этих продуктов была вызвана очень высоким уровнем риска, который идет от уязвимости CVE-2019-0708.
Действительно, эта уязвимость, определена в протоколе служб терминалов (классическое название функции удаленного рабочего стола), и была оценена в ошеломляющие 9,8 баллов в классификации CVSS! Проблемы такого калибра случаются довольно редко и обычно связаны с дырами, позволяющими, например, обойти аутентификацию и получение прав суперпользователя, выйти из виртуальной машины и обойти защиту памяти.
Ошибка в службах терминалов Windows распространяется на Windows 7 и Vista (и их серверные версии), но в соответствии с «Секретный протокол» MS KB4500705 также включен в Windows XP и 2003 Server (и, вероятно, также в Windows 2000). Она позволяет удаленное выполнение кода на машине с включенной службой удаленного рабочего стола. Для этого не требуется аутентификация: просто отправить правильно сформулированный запрос, и целевой компьютер выполнит код с привилегией сервиса termvcs.
В настоящее время неизвестно о каком-либо использовании этой уязвимости в сети, но проблемы с такой спецификой напоминают самые мрачные времена в истории безопасности систем Microsoft, начала 21-го века, до того, как были внедрены принципы надежных вычислений. Именно тогда в Интернете появились черви Blaster, Sasser и MyDoom.
CVE-2019-0708 ясно демонстрирует эту самую природу, но за последние пятнадцать лет характер сетевых червей неприятно изменился. Сегодня приходится считаться с эпидемиями типа WannaCry, которые шифруют данные жертвы и занимаются вымоганием денег, за возобновления доступа к ним. WannaCry распространился в больших масштабах из-за большого количества компьютеров под управлением Windows XP.
Патч закрывавший эту уязвимость был выпущен ранее, но большинство устройств остались не исправленными. Старая Windows XP не загружала его автоматически, потому что он не был выпущен Центром обновления Windows, и практика доказала, что XP все равно не был исправлен. Между тем проблема с удаленным рабочим столом распространяется и на Windows 7! Для возникновения новой эпидемии достаточно нескольких благоприятных обстоятельств.
Интересно, что уязвимость еще не получила броского и модного названия, как многие дыры в последние годы. Чтобы защитить себя от этого в Windows 7, необходимо установить обновление KB4499164. Сделать это можно с помощью автоматического обновления. Согласно примечанию Microsoft, Windows 10 не восприимчива.
