Kritikus hiba az RDP microsoftos implementációjában

 ( trey | 2012. március 13., kedd - 21:42 )

A Microsoft ma közölte, hogy a MS12-020 jelű biztonsági figyelmeztetőben felsorolt frissítések két sebezhetőséget orvosolnak a Remote Desktop Protocol (RDP) microsoftos implementációjában. A kettő közül az egyik - a CVE-2012-002 - egy távoli kódfuttatásos sebezhetőség, amely a Microsoft Windows összes verzióját érinti. A Microsoft szerint a sebezhetőséget privátban jelentették és a vállalat jelenleg nem tud olyan támadásokról, amelyek ezt a sebezhetőséget céloznák. Azonban a sebezhetőség feltehetően vonzó lesz a támadók számára, ezért a redmondi szoftvergyártó azt várja, hogy 30 napon belül jelenik meg olyan exploit, ami ezt a sebezhetőséget kihasználja.

A Microsoft azt javasolja, hogy a rendszeradminisztrátorok magas prioritással kezeljék a hibajavítás telepítését. Részletek - a lehetséges workaround-okkal - itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Az NLA megvéd az idegenektől, ez azért elég jó hír.

--
joco voltam szevasz

Persze. Ezt mar a megjelenesekor tudtuk rola. Azzal is szamolni kell azonban, hogy ez is ugyanugy sw es valamekkora eselye annak is van, hogy ebben is lehet serulekenyseg es akkor mar ez sem ved. Kicsi az eselye, de szamolni kell vele kockazatkent.

TROLL:
"... a Microsoft Windows összes verzióját érinti."

Hú, mi lesz most a Win 3.11-emmel?!
TROLL OFF

Idézet a Microsoft közleményéből:

"One of the two, CVE-2012-002, is a Critical, remote code execution vulnerability affecting all versions of Windows."

Nem emelték ki ugyan (és én sem) - de nyilvánvalóan a még támogatott verziókról beszélnek ezekben a bejelentésekben. A nem támogatott verziók gyakorlatilag ilyen szempontból nem léteznek, mivel azokhoz Security Bulletin-t nem adnak ki. Hogy pontosan melyik támogatott verzió hogyan érintett, arról a MS12-02-ban lehet olvasni.

--
trey @ gépház

nyilvan amelyikre nincs terminal server azt nem erinti :)

--
NetBSD - Simplicity is prerequisite for reliability

Csak kötekedni akartam. :-)

Hogy minimális ontopicot is adjak: vagy tíz éve, amikor programozni tanulgattam, elkezdtem írni egy VNC klienst 3.11-re. Akkor eszembe jutott, hogy igazából a VNC szerver lehet, hogy nagyobb poén lett volna. Aztán hallottam az RDP-ről.
Arra viszont kíváncsi vagyok, hogy egy NT4 Terminal Server érintett-e a dologban. Igaz, valószínűleg más, ismert, javítatlan exploitok is vannak rá.

úgyérted javítatlan sebezhetőség

:-)
már angolul se tudok...

xp, 2003 szerverhez tegnap óta elérhető a javítás.

többihez is

igaz (KB2621440)

S mindez - meglepetés - be van linkelve a cikkben.

--
trey @ gépház

Nem baj, nem történt semmi, azon kívül, hogy mire kitudódott a hiba, már megtörtént a javítása is. No problem, a rossz érzés videó valahogy nem úgy ütött, mint kellett volna :)

Hogy neked hogyan üt, azt nem tudom, de hogy nekem (support) hogyan üt, azt majd csak jó egy év múlva fogom tudni neked megmondani, amikor megnézem, hogy volt-e ezzel kapcsolatban bejelentésünk, ha volt mennyi és mennyi munka volt azokat lezárni. De ha látnok vagy, akkor a lottószámokat is bemondhatod. ;)

--
trey @ gépház

Én nem jósoltam semmit, vagy igen? Kicsit túllihegted ezt a dolgot. Tedd fel a javítást azt számolgasd, hogy ezzel a hibával még mennyi dolgod lesz, és majd egy év múlva melldöngetve jelentsd, hogy neked volt igazad.

Az a baj, hogy egy kollégámmal most összeszámoltuk és körülbelül 500 és 1000 darab _szerver_ + nagyságrendileg jó néhány ezer munkaállomás az, ami miatt most úgy potenciálisan aggódnunk kell.

De köszi, hogy megosztottad, hogy te feltetted a W7-edre egy kattintással.

Most éppen azon sakkozok, hogy hogyan tudnám a valahogy megoldani, hogy egyes szervereket ne kelljen rebootolni a frissítés után, mert egyszerűen nem találok olyan időpontot, amikor rebootolni lehetne.

--
trey @ gépház

"Az a baj, hogy egy kollégámmal most összeszámoltuk és körülbelül 500 és 1000 darab _szerver_ + nagyságrendileg jó néhány ezer munkaállomás az, ami miatt most úgy potenciálisan aggódnunk kell. "

Biztonsági patchek mindig is voltak, nem?
(Nem kötözködésképp, csak érdeklődök, hogy miben más ez az eset, mint az eddigiek?)

Egyrészt, frissítés és frissítés is közt van különbség.

Why We Rated the MS12-020 Issue with RDP "Patch Now"
March 2012 "Black Tuesday" announcement

Egyrészt a Micrsosoft kiemeli, hogy kezeljék prioritással, annak oka van. A másik az, hogy a "patch now"-ot sem osztogatják ok nélkül. Ez a táblázat mutatja, hogy van a patchek közt különbség.

Másrészt, mi nem csak rendszeradminisztrátori szupportot látunk el cégeknél, hanem - sajnos nem annyira képzett - "rendszergazdákat" (pl. a helyi srác, aki már egyszer csinált weboldalt Dreamweaver-ben, vagy Julika, aki annak idején írt programot Clipper-ben) és ügyfeleket is támogatunk van ahol szerződésben, van ahol eseti megkeresések szerint. Ezek a rendszergazdák és ügyfelek ált. akkor fordulnak hozzánk, amikor már nagy baj van (értsd áll a cég, a szerver nem bootol, vagy az adatok elvesztek és/vagy elveszés közeli állapotban vannak), de egyébként nem, mert "értenek hozzá". Viszont ha baj van, akkor jönnek és gyorsan kell a segítség. Az ország különböző részein, ált. egy időben és azonnal. Namost, mivel ezek az ország több pontján vannak, gyakran kell nekik segíteni távolról, illetve van, ahol csak úgy parasztosan egyik városból a másikba bejelentkeznek ők maguk (nincs VPN-jük és nem is akarnak mert pénzbe kerülne). És ezeknél az ügyfeleknél sokszor fordul elő, hogy a gépeik - az javaslatok ellenére is - elérhetők közvetlenül RDP-n.

Engem ez egy kicsit aggaszt most. Persze mindenki úgy kezeli ezeket a dolgokat, ahogy akarja. Én a jobb félni mint megijedni megközelítést látom itt jónak.

--
trey @ gépház

Hát, a javítás megtörtént, de ezek hogy fognak eljutni a warez telepítményekhez, ahol le van tiltva az update, nehogy letöltse a WGA-t és kiderüljön a turpisság? És most nehogy azzal gyere, hogy a cégeknél valószínűleg eredeti van :-)

Majd az egyik ezt a hibát kihasználó worm befoltozza maga után a lyukat. :)

Ezt most nem értem, hogy mi köze van ennek ahhoz, hogy valaki frissít vagy nem, vagy illegális a win-je vagy nem? A lényeg, hogy hivatalosan javítás van hozzá, amely befoltozza ezt a hibát. Sőt kifejezetten gyorsan reagáltak a dologra.

"Sőt kifejezetten gyorsan reagáltak a dologra."

Úgy 10 év alatt. :)

Desktop-on annyira azért nem jellemző az RDP, TS-eknél pedig a CAL-ok aktiválása (bár könnyen lehet, hogy ezt is törték) miatt talán kevesebb a warez.