Mar20201220 Marzo 201227 Gennaio 20140Commentidi Ermanno Goletto

Hotfix di sicurezza 2671387 per risolvere una vulnerabilità di Desktop remoto

Pubblicato in IT, Security, Virtualization

Nel bollettino di sicurezza Microsoft MS12-020 del 13 marzo 2012 è stato reso disponibile un aggiornamento per la protezione risolve due vulnerabilità del protocollo RDP che sono state divulgate privatamente.

Come spesso accade dopo al pubblicazione delle hotfix la comunità hacker eseguendo il reverse engineering  dei binari dell’hotfix scopre quale fosse la vulnerabilità e di qui la possibiltà che questa cominci ad essere sfruttata da codice malevolo.

In questo caso però è successo qualcosa di più grave ovvero su un sito web cinese è apparso in queste ore il codice “proof-of-concept” in grado di sfruttare la vulnerabilità.

Diventa quindi essenziale installare la KB 2671387 (MS12-020: Vulnerabilities in Remote Desktop could allow remote code execution: March 13, 2012) che a sua volta va a risolvere le due vulnerabilità:

  • La KB 2667402 (questo hotfix presenta un know issue nel caso di disinstallazione per i dettagli si veda l’articolo relativo) 
  • La KB 2621440

La più grave di queste vulnerabilità può consentire l’esecuzione di codice in modalità remota se un utente malintenzionato invia al sistema interessato una sequenza di pacchetti RDP appositamente predisposti. Per impostazione predefinita, il protocollo RDP (Remote Desktop Protocol) è disabilitato in tutti i sistemi operativi Windows. I sistemi che non hanno il protocollo RDP attivato non sono a rischio.

I sistemi a rischio sono quindi quelli con RDP attivato con versioni del sistema operativo Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

La pubblicazione del codice per sfruttare le vulnerabilità ha ovviamente alzato il livello di rischio (si veda INFOCON Yellow – Microsoft RDP – MS12-020) ed è quindi consigliabile installare subito l’hotfix KB 2671387 tramite Windows Update o mediante applicazione diretta dell’hotfix.

Una curiosità la vulnerabiltà è stata travata da Luigi Auriemma, che collabora con la Zero Day Initiative di TippingPoint, il 16 maggio 2011 e segnalata a Microsoft il 24 agosto 2011.

Per ulteriori informazioni si veda anche la news pubblicata da Sysadmin.it il 19 marzo 2012 Microsoft: trapela una vulnerabilità.