Acabo de parchear algunos de mis servidores de Windows Server 2016 con el nuevo KB de mayo de 2018, que corrige una vulnerabilidad CredSSP, pero al mismo tiempo crea un problema al intentar RDP desde un sistema sin parche.
Una vez que terminé mi jornada laboral, uno de los jefes de proyecto me envió un mensaje diciendo que RDP está roto y que no puede RDP a uno de los servidores de producción. Inmediatamente, volví a mi estación de trabajo, intenté RDP y se me presentó un mensaje de error muy extraño, como se muestra a continuación:
Fui al enlace proporcionado y supe que Microsoft lanzó un parche de seguridad que afecta el mecanismo RDP. Específicamente, el CVE-2018-0886 actualizar.
Existe una vulnerabilidad de ejecución remota de código en el protocolo CredSSP. El atacante necesitaría ejecutar un ataque de aplicación MITM (Man-in-the-middle) contra la sesión RDP, lo que le daría la puerta abierta para instalar software, cambiar cuentas de usuario, ver o cambiar datos, etc.
Por lo tanto, es genial que Microsoft haya solucionado este problema, pero ¿cómo solucionamos el error RDP anterior? Después de investigar un poco, encontré los dos KB que Microsoft lanzó.
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4093120
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103715
Estos dos KB se relacionan con Windows Server 2012 R2 y 2016 junto con Windows 8.1 y 10 (1607).
Entonces, después de instalar KB en Windows Server 2016, los sistemas Server 2012 R2 y las computadoras cliente, el problema se solucionó de inmediato. Tenga en cuenta que debe reiniciar los sistemas una vez finalizada la actualización, por lo que es ideal planificar la actualización durante la noche.
Un problema interesante con una solución bastante rápida, que no fue demasiado fácil de encontrar. Si busca en Google CVE-2018-0886, encontrará una variedad de recursos y documentación sobre este problema y artículos de KB para otros sistemas anteriores a 2012 R2. ¡Disfrutar!