[RW011]

Обнаружен баг в Windows 10 (1903)
Сообщается, что специалистами Координационного центра CERT обнаружен баг в системе аутентификации сетевого уровня (NLA) Windows 10 (1903).
Подробнее:

1:

В последней версии «десятки» изменили работу NLA, теперь этот режим работает иначе, чем в предыдущих версиях ОС.
Подключение к удаленному рабочему столу производится с помощью RDP клиента.
RDP (Remote Desktop Protocol) клиент установлен во всех ОС Windows.
Суть в том, что механизм проверки подлинности кеширует учётные данные клиента на узле RDP, чтобы в случае обрыва связи, завершения сессии и так далее он мог быстро войти в систему снова.
Однако это же позволяет злоумышленнику обойти экран блокировки Windows и нелегально подключиться.
Повторно подключённый сеанс RDP восстанавливается на рабочем столе, а не на экране входа в систему.
То есть вводить логин и пароль уже не нужно.
Более того, эта уязвимость позволяет обойти систему многофакторной аутентификации (MFA).
В Microsoft заявили, что это не является ошибкой или уязвимостью.
По данным компании, сценарий не соответствует критериям Microsoft Security Servicing для Windows.
Иначе говоря, это нормальное, по мнению корпорации, поведение системы, а не брешь.
Так что изменений в этом в ближайшее время ожидать не стоит.
Рекомендацией для пользователей же является блокировка локальной машины, чтобы злоумышленник не мог войти в аккаунт пользователя.

В тоже время специалисты Morphus Labs обнаружили новый ботнет, активно сканирующий сеть на предмет плохо защищенных Windows-систем с активным подключением по RDP.
В настоящее время в списке целей ботнета, получившего название GoldBrute, числится более 1,5 млн систем, к которым он периодически пытается получить доступ с помощью брутфорса или атак с подстановкой учетных данных (credential stuffing).
По информации исследователей, наибольшее число атакованных систем приходится на Южную Корею, Китай, Тайвань, США и Великобританию.
Получив доступ к целевой системе, ботнет загружает ZIP-архив с вредоносным ПО GoldBrute, а затем проводит сканирование интернета на предмет новых уязвимых компьютеров с подключением по RDP.
Собрав список из 80 потенциальных объектов, GoldBrute отправляет данные об их IP-адресах на управляющий сервер, откуда на инфицированный ПК отправляется список IP-адресов, которые нужно атаковать.
Примечательно, что для каждого IP-адреса предусмотрена только одна комбинация логин/пароль, причем для каждой цели используются разные учетные данные.
Как полагают исследователи, таким образом операторы ботнета стараются скрыть свою деятельность от пользователей, которые наверняка заметят многочисленные попытки авторизации.
На завершающем этапе бот проводит брутфорс-атаку и отправляет результаты C&C-серверу.
Пока эксперты не могут сказать, какую цель преследуют злоумышленники.
Они полагают, что операторы GoldBrute собирают ботнет для дальнейшей продажи доступа к нему на различных подпольных форумах.