Martedi 13 marzo 2012 Microsoft ha pubblicato un Bulletin di Sicurezza particolarmente importante (http://technet.microsoft.com/en-us/security/bulletin/ms12-020) relativo ad una vulnerabilita' sul protocollo RDP su tutti i sistemi Windows da XP in poi.
Questa vulnerabilita' potrebbe permettere ad un attaccante di eseguire, tramite l'invio di una serie di pacchetti formattati in maniera particolare, l'esecuzione di codice su un sistema remoto che non sia stato "patchato".
Al momento non sembra esistere un exploit utilizzabile per sfruttare la vulnerabilita' ma solamente il codice del PoC (proof of Concept) rilasciato da Luigi Auriemma di Tipping Point che ha individuato e segnalato a Microsoft il problema. Purtroppo pero' Microsoft indica un tempo massimo di circa 30 giorni prima che qualcuno riesca a codificare un exploit utilizzabile da chiunque su Internet e quindi bisogna procedere tempestivamente all'installazione della patch fornita da Internet.
Un aspetto positivo e' che il protocollo RDP non e' automaticamente attivato sui server Windows ma ,purtroppo, spesso viene attivato in un secondo momento successivo e talvolta viene
pubblicato su server che sono esposti direttamente su Internet (basta provare a fare un nmap sulla porta 3389 per verificare che server Windows su Internet in ascolto ci sono).
Un aspetto pericoloso di questa situazione e' stato pubblicato in un secondo momento da Microsoft stessa(http://blogs.technet.com/b/msrc/archive/2012/03/16/proof-of-concept-code-available-for-ms12-020.aspx) : sembra che sia stato reso disponibile il codice che Microsoft stessa aveva condiviso con i propri partner del programma Microsoft Active Protections Program (MAPP) con un Non-Disclosure Agreement che evidentemente e' stato disatteso da qualcuno.
La soluzione suggerita da Microsoft per evitare problemi legati a questa vulnerabilita' e' quella di installare la patch relativa. Nel caso in cui questo non sia possibile suggeriamo invece di evitare di continuare ad esporre verso Internet sistemi Windows con protocollo RDP aperto.
A dire il vero questo suggerimento lo estenderei a applicherei a prescindere da questa vulnerabilita' specifica e mi sento di proporre a chiunque deve fornire accesso a sistemi Windows con il protocollo RDP di effettuare questa operazione utilizzando un portale VPN SSL posizionato in una DMZ del proprio firewall perimetrale
No comments:
Post a Comment