<div dir="ltr"><div>[cross-posting to AKLUG and NUGA]</div><div><br></div>Along with the rest of the flood of vuln reports yesterday, Microsoft's Patch Tuesday included patches for a remote RDP bug:<div><br></div><div><a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708">https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708</a></div><div><br></div><div><div>It's very wormable - and also likely to be great fodder for ransomware. It's bad enough that for the second time ever, they're supplying patches for unsupported OSes:</div><br class="gmail-Apple-interchange-newline"><div><a href="https://krebsonsecurity.com/2019/05/microsoft-patches-wormable-flaw-in-windows-xp-7-and-windows-2003/">https://krebsonsecurity.com/2019/05/microsoft-patches-wormable-flaw-in-windows-xp-7-and-windows-2003/</a></div><div><br></div><div>If you can't patch, and your RDP is public on purpose, one mitigation is to enable Network Level Authentication, which requires auth before you can attempt to log in:<br></div><div><br></div><div><a href="https://en.wikipedia.org/wiki/Network_Level_Authentication">https://en.wikipedia.org/wiki/Network_Level_Authentication</a><br></div><div><br></div><div>Another mitigation is to block 3389 at your border. If you are a provider, this can be tricky because many people are using direct RDP from the public Internet as a maintenance or workflow path.</div><div><br></div><div>Public RDP is not a recommended practice. If you are using direct public RDP, put it behind a VPN.</div><div><br></div><div>I've scanned my known Alaskan IP space:</div><div><br></div><div><a href="https://www.techsolvency.com/alaskan-networks/">https://www.techsolvency.com/alaskan-networks/</a><br></div><div><br></div><div>... for RDP, not for the vuln. (At this writing, there is no scanner or POC.). At this writing, about 830 Alaskan systems have public RDP enabled. I am working with providers to give them the list for potential action, but any such action beyond their own gear is likely to be a courtesy only (so I would take action now and not wait for it).</div><div><br></div><div>I'm sure that many people are trying to reverse-engineer the patches as we speak, so I recommend surveying your attack surface quickly.</div><div><br></div><div>(Disclaimer: this is just me personally investigating and raising the issue, not $DAYJOB-related, and is just a nudge for folks to consult their respective geeks and take action)</div><div><br></div><div>Royce</div><div><br></div></div></div>