Уязвимость Windows RDP (CVE-2015-2472, MS15-082)

Несколько дней назад появились сообщения о странной проблеме — время от времени подключение к «удаленным рабочим столам» по протоколу RDP становилось невозможным, а затем, через какое-то время, проблема могла уйти сама собой.

Если в момент недоступности RDP запустить nmap, можно увидеть блокировку порта 3390/tcp, который используется для RDP-подключений. При этом на сервере выключен файрвол, также исключена фильтрация трафика на сетевом оборудовании:

К сожалению, на данный момент неизвестна точная причина возникновения подобных неполадок, но следует обратить внимание на опубликованный 11 августа 2015 года бюллетень безопасности Microsoft Security Bulletin MS15-082 — Important, в рамках которого выпущено обновление безопасности для операционных систем Windows Vista, Windows Server 2008, Windows 7, Windows 8, Windows RT и Windows Server 2012, связанный с уязвимостью в реализации протокола RDP. Согласно описанию уязвимости, злоумышленник имеет возможность запуска произвольного кода на удаленной системе путем создания RDP-подключения с определенными параметрами. Указанная в MS15-082 уязвимость имеет статус важной, однако в данный момент нет дополнительной информации по данной проблеме.

Также стоит отметить анонс CVE-2015-2472. В данный момент идентификатор уязвимости зарезервирован, однако в дальнейшем в его рамках будет опубликована полная информация о проблеме. Некоторая информация также есть на сайте SecurityLab.ru.

Данную уязвимость и сопутствующие ей эффекты также активно обсуждают на форуме технической поддержки Microsoft.

Мы рекомендуем внимательно отнестись к данной, как нам кажется — потенциально серьезной уязвимости. Необходиомо установить актуальные заплатки, не лишним также будет сменить RDP-порт на нестандартный (не забудьте также добавить правило в Windows Firewall!) и усилить меры безопасности — например, разрешить подключения к своему серверу только с доверенных IP-адресов.