Cercetătorii de securitate Ver, Lewis Lee și Zhiniang Peng au dezvăluit o vulnerabilitate critică în Windows Server, numită “MadLicense,” care poate permite atacatorilor să preia controlul complet asupra unui server fără interacțiune din partea utilizatorului.
TL;DR
- Vulnerabilitatea “MadLicense” afectează toate versiunile de Windows Server de la 2000 la 2025.
- Permite atacatorilor să preia controlul complet asupra unui server fără interacțiune din partea utilizatorului.
- Se recomandă actualizarea imediată a sistemelor Windows Server pentru a preveni atacurile.
Ce este vulnerabilitatea “MadLicense”?
“MadLicense” este o vulnerabilitate de Remote Code Execution (RCE) care afectează serviciul Windows Remote Desktop Licensing Service (RDL). Acest serviciu gestionează licențele pentru Remote Desktop Services și este esențial pentru multe organizații. Vulnerabilitatea permite atacatorilor să preia controlul complet asupra serverului, fără ca utilizatorul să facă nimic.
Cum funcționează exploatarea “MadLicense”?
Vulnerabilitatea provine dintr-un simplu Buffer Overflow în procedura CDataCoding::DecodeData. Prin manipularea inputului controlat de utilizator, atacatorii pot declanșa un buffer overflow, ceea ce le permite să execute cod arbitrar în contextul serviciului RDL. Cercetătorii au demonstrat un proof-of-concept (PoC) exploit pe Windows Server 2025, obținând o rată de succes de aproape 100%.
Impactul și expunerea
Serviciul RDL este utilizat pe scară largă în multe organizații și este adesea integrat în sisteme critice de afaceri și clustere de desktop-uri la distanță. Cercetătorii au descoperit că cel puțin 170.000 de servicii RDL sunt expuse direct la internet, ceea ce le face vulnerabile la atacuri.
Ce măsuri trebuie să luați?
Este esențial să actualizați imediat sistemele Windows Server pentru a aplica patch-urile disponibile. Microsoft a lansat un patch în cadrul actualizării de securitate din iulie, însă este posibil ca vulnerabilitatea să fi fost subestimată inițial. De asemenea, dacă nu mai aveți nevoie de serviciul RDL pe sistemul dvs., luați în considerare dezactivarea acestuia pentru a reduce riscul de vulnerabilități de securitate.
Concluzie
Organizațiile sunt puternic sfătuite să prioritizeze actualizarea imediată a sistemelor lor Windows Server pentru a se proteja împotriva potențialelor atacuri. Profesioniștii în securitate sunt încurajați să utilizeze informațiile împărtășite de cercetători pentru a identifica și preveni tentativele de exploatare.