ב-13 למרץ פרסמה מיקרוסופט טלאי אבטחה קריטי MS12-020 שנועד לסגור פרצה בפרוטוקול גישה מרחוק (RDP). מומלץ להתקין את הטלאי בהקדם! מה שהחל באופן. . .
פרוטוקול RDP מאפשר בין היתר שליטה מרוחקת (Remote Control), תקשורת מאובטחת (RSA), הפניית הדפסה, שינוי והעתקה של ה-Clipboard, וערוץ וירטואלי (Virtual Channel) אשר בתורו מאפשר שימוש של תוכנות צד שלישי בפרוטוקול הגישה מרחוק.
פרצה זו עלולה לאפשר שימוש בפונקציה זו על מנת לאפשר לתולעת ייעודית להריץ קוד זדוני על מחשב מרוחק, להשתלט על מחשבי קצה ושרתים, להפיל מחשבים ושרתים, ולהתפשט דרך רשתות ארגוניות וחיצוניות ולאפשר שליטה מרחוק באמצעות שרתי Command and Control של התולעת. יתרה מכך, במקרים רבים בהם השימוש בפרוטוקול זמין (enabled) מתאפשר מעבר דרך Firewalls ושימוש במערכת המותקפת עם הרשאות גישה גבוהות.
פתרונות לפרצה
מומלץ להתקין את הטלאי של מיקרוסופט מהר ככל האפשר!
בנוסף, ישנו workaround שפורסם ע"י מיקרוסופט ומבוסס על השמשה של Network Level Authentication (NLA) במערכות מבוססות Windows Vista או מתקדמות יותר. מימוש זה לא מונע חדירה לפרצה אך ידרוש מהתוקף הזדהות מול המערכת לפני שתתאפשר הרצת הקוד.
כתבות נוספות בנושא
- מתקפות קוד צפויות להופיע בעקבות פגיעויות ה-RDP של מיקרוסופט: במספר אתרים סיניים התגלה זה מכבר קוד מוכיח קונספט שנכתב במטרה לתקוף את הפרצה שהתגלתה זה מכבר ב-RDP של מיקרוסופט. חברות אבטחת המידע הבולטות הזהירו כי יש לפעול במהירות האפשרית לעדכון הטלאים הרלבנטיים במטרה למנוע את האפשרות של תקיפת תולעת רשת.
- גוברת התעלומה סביב דליפת הקוד של MS12-020 RDP: מיקרוסופט נקלעה לבעיה שהולכת וגדלה שבבסיסה דליפת קוד הקונספט לניצול הפגיעות הקשורה להשתלטות מרחוק. חוקרים רבים מאמינים כי הדבר ארע כתוצאה מדליפת מידע, בין אם ממיקרוסופט עצמה או מי משותפותיה ב-MAPP.
- הפרצה במייקרוסופט מהווה תזכורת לחולשת כלי הגישה מרחוק: הטלאי של מייקרוסופט שכלל חולשה אחת קריטית הקשור לפרוטוקול השתלטות מרחוק (RDP- Remote Desktop Protocol) היווה תזכורת מצמררת באשר לסכנות הפוטנציאליות הטמונות בכלי גישה מרחוק לשולחן העבודה הנפוצים בקרב מחלקות מערכות מידע ומשמשים את האדמיניסטראטורים לנושאי Help-Desk וניהול מכונות ממוחשבות.