[2019.08.14] BlueKeep과 유사한 추가 Remote Desktop Service 원격 코드 실행 취약점 (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226, CVE-2019-1223, CVE-2019-1224, CVE-2019-1225)

요약

- 8월 정기 패치 중 원격 데스크톱 서비스 관련 총 7개 취약점 패치 발표

- 7가지의 RDP 관련 취약점을 통틀어 "Seven Monkeys/ DejaBlue"로 칭함

- 특징 : RDP 프로토콜 자체에 영향을 미치지 않으나, 구)Terminal Service였던 Remote Desktop Service내 취약점이 존재

- 영향성 : 해당 취약점들을 이용한 공격은 현재까지 없음.

CVE-2019-1181, CVE-2019-1182 : 대부분의 윈도우 버전 해당

CVE-2019-1222, CVE-2019-1226 : Windows 10, Windows Server Edition 해당

(1) CVE-2019-1181, CVE-2019-1182 - Wormable 모든 윈도우 버전 해당

- 취약점 : Remote Desktop Service(구, Terminal Service)에 취약점이 존재해, 특수하게 가공된 Request를 목표 RDP에 보낼 시 

             비인가 원격 공격자가 임의의 코드를 실행 할 수 있음

             공격자는 프로그램 설치/데이터 보기, 수정, 삭제/모든 사용자 권한을 가진 새로운 계정을 생성할 수 있음.

- 취약점 이용 공격 가능성 : 높음

- CVE Base Score : 9.8

- 영향 받는 제품 : Windows 10, Windows 7 (RDP 8.0, RDP 8.1이 설치된 경우), Windows 8.1, Windows RT 8.1, 

                        Windows Server 2008 R2(RDP 8.0, RDP 8.1이 설치된 경우), Windows Server 2012, 

                        Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server version 1803, 

                        Windows Server version 1903 

- 대응방안 : 신속한 패치 필요. RDP 사용을 하지 않을 경우 Disable로 설정 

- 차선책 : 

1) Windows 7, Windows Server 2008, Windows Server 2008 R2 경우

   네트워크 레벨 인증(Network Level Authentication(NLA)) Enable로 설정

2) 방화벽에서 TCP 3389 포트 Block 설정

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

(2) CVE-2019-1222, CVE-2019-1226

- 취약점 : Remote Desktop Service(구, Terminal Service)에 취약점이 존재해, 특수하게 가공된 Request를 목표 RDP에 보낼 시 

             비인가 원격 공격자가 임의의 코드를 실행 할 수 있음

       공격자는 프로그램 설치/데이터 보기, 수정, 삭제/모든 사용자 권한을 가진 새로운 계정을 생성할 수 있음.

- 영향 받는 제품 : Windows 10, Windows Server 2019, Windows Server version 1803, Windows Server version 1903 

- 대응 방안 : 신속한 패치 필요

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

(3) 추가 RDP 취약점: 

- CVE-2019-1223 : DoS

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1223

- CVE-2019-1224, CVE-2019-1225 : 메모리의 콘텐츠 노출

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1224

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1225

관련 CVE정보

- CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226, CVE-2019-1223, CVE-2019-1224, CVE-2019-1225

영향성

     해당 제품 사용 그룹사는 신속한 패치 필요

참고자료

출처 : https://thehackernews.com/2019/08/windows-rdp-wormable-flaws.html 

   https://www.zdnet.com/article/microsoft-august-2019-patch-tuesday-fixes-93-security-bugs/