Microsoft kom i går kveld med seks sikkerhetsoppdateringer til selskapets produkter. Kun én av disse anses som kritisk, men den er til gjengjeld så alvorlig at Microsoft ber kundene om spesielt å prioritere denne sikkerhetsoppdateringen – MS12-020.
Denne kritiske sikkerhetsoppdateringer fjerner to sårbarheter i Remote Desktop Protocol (RDP), som benyttes av Remote Desktop Connection. Den alvorligste av disse kan gjøre det mulig med fjernkjøring av vilkårlig kode dersom en angriper sender en sekvens med spesielt utformede RDP-pakker til et sårbart system.
Sårbarheten finnes i Windows XP og alle nyere utgaver av Windows.
Selv om RDP-støtten ikke er aktivert som standard i Windows, er teknologien mye brukt til å fjernadministrere servere, salgsterminaler og andre Windows-baserte maskiner som ikke står i administratorens umiddelbare nærhet. RDP benyttes også ofte i forbindelse med Windows-baserte nettskytjenester.
Utnyttelse av sårbarheten skal kunne gjøres uten brukerinnvirkning. Det gir særdeles gode muligheter for å skape selvreplikerende skadevare som sprer seg fra maskin til maskin, tilsvarende Internett-ormen Morto som infiserte mange systemer via RDP på sensommeren i fjor. Men Morto bare kunne infisere maskiner med svake passord. En nye orm som utnytter sårbarheten, kan angripe alle maskiner med aktiv RDP-tjeneste, med mindre administratoren enten har installert sikkerhetsoppdateringen eller tatt i bruk alternative forsvarsmetoder som er beskrevet i dette blogginnlegget.
Microsoft mener likevel at utvikling av angrepskode som kan utnytte sårbarheten, ikke vil være trivielt.
– Vi vil bli overrasket dersom vi ser at angrepskode har blitt utviklet i de nærmeste dagene. Men vi venter å se at fungerende angrepskode vil bli utviklet innen de neste 30 dagene, skriver to ansatte ved Microsoft Security Response Center.
Én eller flere av de øvrige sikkerhetsoppdateringene fra Microsoft berører Windows XP og nyere, Microsoft Visual Studio 2008 og nyere, samt alle versjoner av Microsoft Expression Design.
Les også:
- [19.03.2012] – Angrepskode lekket via Microsoft
- [29.08.2011] Advarer mot ny Windows-orm