Уязвимость BDU:2025-06876 (CVE-2025-32710) RDS Windows
Уязвимость BDU:2025-06876 (CVE-2025-32710) типа Use-After-Free (UAF) в службе Remote Desktop Services (RDS) операционных систем Windows. Позволяет удаленному злоумышленнику выполнить произвольный код через обработку специально сформированных RDP-пакетов. Основная опасность заключается в возможности полного захвата контроля над сервером без аутентификации.
Анализ уязвимости
Уровень опасности: 8.1 HIGH
Вектор атаки: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
-
AV:N (Attack Vector: Network) - Атака через сеть без физического доступа.
-
AC:H (Attack Complexity: High) - Высокая сложность эксплуатации (требует обхода ASLR/DEP).
-
PR:N (Privileges Required: None) - Привилезии не требуются.
-
UI:N (User Interaction: None) - Без взаимодействия с пользователем.
-
S:U (Scope: Unchanged) - Влияние ограничено уязвимым компонентом.
-
C:H/I:H/A:H (Confidentiality/Integrity/Availability: High) - Полное нарушение конфиденциальности, целостности и доступности.
Условия эксплуатации
-
Служба RDP доступна из сети (порты 3389, 3390 и др.).
-
Отсутствие патчей на перечисленных версиях Windows Server.
-
Важно! Эксплуатация требует высокой точности в управлении памятью для обхода защит (ASLR, DEP).
Уязвимые ОС
- Windows Server 2008 R2 SP1 64-bit
- Windows Server 2008 SP2 32-bit
- Windows Server 2008 SP2 64-bit
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2008 SP2 Server Core installation 64-bit
- Windows Server 2008 SP2 Server Core installation 32-bit
- Windows Server 2012 R2 Server Core installation
- Windows Server 2016 Server Core installation
- Windows Server 2008 R2 SP1 Server Core installation 64-bit
- Windows Server 2012 Server Core installation
- Windows Server 2019
- Windows Server 2019 Server Core installation
- Windows Server 2022
- Windows Server 2022 Server Core installation
- Windows Server 2022 23H2 Edition Server Core installation
- Windows Server 2025
- Windows Server 2025 Server Core installation
Анализ эксплоита
Рассмотрим код эксплоита для понимания работы вектора атаки с использованием уязвимости CVE-2025-32710.
Структура эксплоита:
-
Scanner (sodok.py): Обнаружение уязвимых хостов через NTLM-анализ.
def rdp_check(ip, port):
s = socket.socket()
s.connect((ip, port))
s.send(MALICIOUS_NEG_REQ) # Отправка специального запроса
if parse_response(s.recv(1024)) == "VULNERABLE":
return extract_ntlm_info(s) # Сбор информации об ОС
-
Exploit Core (my_rdp.py): Манипуляция с памятью через UAF:
def trigger_uaf(conn):
payload = craft_rop_chain() # Цепочка ROP для обхода DEP
malicious_pkt = struct.pack('<I', 0xDEADBEEF) + payload
conn.send(malicious_pkt) # Триггер UAF
execute_shellcode(conn.recv(4096)) # Выполнение шелл-кода
-
Автоматизация (run.sh):
-
Создание скрытого пользователя
sincan2:koped123с правами администратора. -
Автоматическое открытие портов RDP через
netshиreg add.
-
Что получает злоумышленник?
-
Полный контроль над сервером:
-
Установка бэкдоров, криптомайнеров, ransomware.
-
-
Данные для атак на внутреннюю сеть:
-
Через NTLM-ответы получает версию ОС.
-
Доступ к доменным контроллерам через компрометированный сервер.
-
-
Пример извлеченных данных (NTLM):
{
"target": "192.168.1.10:3389",
"OS": "Windows Server 2016",
"DNS_Computer_Name": "DC01.corp.local",
"System_Time": "2023-10-05 14:30:00 UTC"
}
Меры защиты:
-
Обновления:
Установите обновления. -
Сегментация сети:
-
Настройка RDP Gateway:
-
Требовать Network Level Authentication (NLA).
-
Ограничить доступ по IP через GPO.
-
-
Правила для Suricata (IPS)
Обнаружение попыток эксплуатации:
alert tcp any any -> any [3389,3390] (
msg:"CVE-2025-32710 UAF Attempt";
flow:to_server;
content:"|03 00 00|"; depth:3;
content:"|08 00 ff ff|"; within:10;
byte_test:4,>,1023,0,relative; # Аномальный размер пакета
metadata:policy max-detect-ips;
sid:202532710;
rev:2;
)
-
Hardening RDP:
-
Отключить устаревшие протоколы через GPO:
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name SecurityLayer -Value 2 # TLS
-
Аудит подключений:
wevtutil set-log "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational" /enabled:true
-
Алексей Черемных
