Los boletines de seguridad de Microsoft de este mes tuvieron mucha acción con el fallo de validación ECC de "crypt.dll" (también conocido como CurveBall o ChainOfFools), pero los de Windows Remote Desktop Gateway (RD Gateway) -algunos de ejecución remota de código- merecen su atención inmediata, concretamente CVE-2020-0609 y CVE-2020-0610.
Lo que sigue es mi proceso de pensamiento de cómo investigo este tipo de vulnerabilidades con un sistema como Censys.
Indagar en Censys para encontrar estos hosts se vuelve interesante. En resumen, como Censys registra las observaciones de la red, hay que averiguar cómo se presenta el software en la red. Para el software basado en web, Microsoft suele tener una cabecera específica que expresa el producto y la versión. Pero en este caso, no lo tiene, así que tengo que basarme en otras señales para identificar con solidez a los candidatos. Mi objetivo es estimar el tamaño de la población vulnerable, y tal vez apoyar la identificación de activos en mi red que necesito parchear o remediar.
Normalmente, en este tipo de situación (sin un marcador obvio como un encabezado web distintivo), cuando quiero buscar estos datos en Censys , empiezo con una búsqueda de texto libre con el nombre del producto, normalmente como una cadena entre comillas.
https://censys.io/ipv4?q=%22Remote+Desktop+Web+Access%22
En este caso, devuelve menos de 100 hosts, lo que me sugiere que esta no es la consulta correcta. Encontré un artículo de soporte de los foros de Microsoft que describe la ruta RDP Web por defecto (/rdweb). Esta cadena es un término de consulta realmente efectivo porque es único. Resulta que vemos casi 38000 servidores con "/rdweb" en sus páginas web:
https://censys.io/ipv4?q=rdweb
A partir de ahí, puede restringirlo a su organización por CIDR, nombre de dominio o similar. En este caso no tenemos ningún número de versión presentado por el banner Web RDP, pero algunos productos sí lo tienen. Si tuviéramos algunos, los utilizaríamos para refinar el conjunto de resultados basándonos en el rango de productos vulnerables del aviso del proveedor.
