Kritikus hiba az RDP microsoftos implementációjában

Microsoft, Windows

A Microsoft ma közölte, hogy a MS12-020 jelű biztonsági figyelmeztetőben felsorolt frissítések két sebezhetőséget orvosolnak a Remote Desktop Protocol (RDP) microsoftos implementációjában. A kettő közül az egyik - a CVE-2012-002 - egy távoli kódfuttatásos sebezhetőség, amely a Microsoft Windows összes verzióját érinti. A Microsoft szerint a sebezhetőséget privátban jelentették és a vállalat jelenleg nem tud olyan támadásokról, amelyek ezt a sebezhetőséget céloznák. Azonban a sebezhetőség feltehetően vonzó lesz a támadók számára, ezért a redmondi szoftvergyártó azt várja, hogy 30 napon belül jelenik meg olyan exploit, ami ezt a sebezhetőséget kihasználja.

A Microsoft azt javasolja, hogy a rendszeradminisztrátorok magas prioritással kezeljék a hibajavítás telepítését. Részletek - a lehetséges workaround-okkal - itt.

( wachag | 2012. 03. 14., sze – 07:45 )

TROLL:
"... a Microsoft Windows összes verzióját érinti."

Hú, mi lesz most a Win 3.11-emmel?!
TROLL OFF

Idézet a Microsoft közleményéből:

"One of the two, CVE-2012-002, is a Critical, remote code execution vulnerability affecting all versions of Windows."

Nem emelték ki ugyan (és én sem) - de nyilvánvalóan a még támogatott verziókról beszélnek ezekben a bejelentésekben. A nem támogatott verziók gyakorlatilag ilyen szempontból nem léteznek, mivel azokhoz Security Bulletin-t nem adnak ki. Hogy pontosan melyik támogatott verzió hogyan érintett, arról a MS12-02-ban lehet olvasni.

--
trey @ gépház

Csak kötekedni akartam. :-)

Hogy minimális ontopicot is adjak: vagy tíz éve, amikor programozni tanulgattam, elkezdtem írni egy VNC klienst 3.11-re. Akkor eszembe jutott, hogy igazából a VNC szerver lehet, hogy nagyobb poén lett volna. Aztán hallottam az RDP-ről.
Arra viszont kíváncsi vagyok, hogy egy NT4 Terminal Server érintett-e a dologban. Igaz, valószínűleg más, ismert, javítatlan exploitok is vannak rá.

Hogy neked hogyan üt, azt nem tudom, de hogy nekem (support) hogyan üt, azt majd csak jó egy év múlva fogom tudni neked megmondani, amikor megnézem, hogy volt-e ezzel kapcsolatban bejelentésünk, ha volt mennyi és mennyi munka volt azokat lezárni. De ha látnok vagy, akkor a lottószámokat is bemondhatod. ;)

--
trey @ gépház

Az a baj, hogy egy kollégámmal most összeszámoltuk és körülbelül 500 és 1000 darab _szerver_ + nagyságrendileg jó néhány ezer munkaállomás az, ami miatt most úgy potenciálisan aggódnunk kell.

De köszi, hogy megosztottad, hogy te feltetted a W7-edre egy kattintással.

Most éppen azon sakkozok, hogy hogyan tudnám a valahogy megoldani, hogy egyes szervereket ne kelljen rebootolni a frissítés után, mert egyszerűen nem találok olyan időpontot, amikor rebootolni lehetne.

--
trey @ gépház

"Az a baj, hogy egy kollégámmal most összeszámoltuk és körülbelül 500 és 1000 darab _szerver_ + nagyságrendileg jó néhány ezer munkaállomás az, ami miatt most úgy potenciálisan aggódnunk kell. "

Biztonsági patchek mindig is voltak, nem?
(Nem kötözködésképp, csak érdeklődök, hogy miben más ez az eset, mint az eddigiek?)

Egyrészt, frissítés és frissítés is közt van különbség.

Why We Rated the MS12-020 Issue with RDP "Patch Now"
March 2012 "Black Tuesday" announcement

Egyrészt a Micrsosoft kiemeli, hogy kezeljék prioritással, annak oka van. A másik az, hogy a "patch now"-ot sem osztogatják ok nélkül. Ez a táblázat mutatja, hogy van a patchek közt különbség.

Másrészt, mi nem csak rendszeradminisztrátori szupportot látunk el cégeknél, hanem - sajnos nem annyira képzett - "rendszergazdákat" (pl. a helyi srác, aki már egyszer csinált weboldalt Dreamweaver-ben, vagy Julika, aki annak idején írt programot Clipper-ben) és ügyfeleket is támogatunk van ahol szerződésben, van ahol eseti megkeresések szerint. Ezek a rendszergazdák és ügyfelek ált. akkor fordulnak hozzánk, amikor már nagy baj van (értsd áll a cég, a szerver nem bootol, vagy az adatok elvesztek és/vagy elveszés közeli állapotban vannak), de egyébként nem, mert "értenek hozzá". Viszont ha baj van, akkor jönnek és gyorsan kell a segítség. Az ország különböző részein, ált. egy időben és azonnal. Namost, mivel ezek az ország több pontján vannak, gyakran kell nekik segíteni távolról, illetve van, ahol csak úgy parasztosan egyik városból a másikba bejelentkeznek ők maguk (nincs VPN-jük és nem is akarnak mert pénzbe kerülne). És ezeknél az ügyfeleknél sokszor fordul elő, hogy a gépeik - az javaslatok ellenére is - elérhetők közvetlenül RDP-n.

Engem ez egy kicsit aggaszt most. Persze mindenki úgy kezeli ezeket a dolgokat, ahogy akarja. Én a jobb félni mint megijedni megközelítést látom itt jónak.

--
trey @ gépház