Cybersecurity

Il Desktop Remoto è vulnerabile

29 Marzo 2012

ATTENZIONE: prima di entrare nel merito dell’argomento di questo post, esortiamo tutti gli amministratori di sistema a installare la patch Microsoft KB2621440, descritta nel bollettino MS12-020 del 13 marzo scorso, su *tutte* le macchine da loro gestite.

Fatto?

Bene, ora che abbiamo compiuto il nostro dovere, cerchiamo di capire cosa comporta non aggiornare i sistemi operativi Windows con questa patch.

Patch per Windows
 

Intanto, quando parliamo di sistemi operativi Windows, intendiamo:

  • Windows 7, anche se aggiornato al Service Pack 1;
  • Windows Server 2008 R2, anche se aggiornato al Service Pack 1;
  • Windows Server 2008, anche se aggiornato al Service Pack 2;
  • Windows Vista, anche se aggiornato al Service Pack 2;   
  • Windows Server 2003, anche se aggiornato al Service Pack 2;
  • Windows XP, anche se aggiornato al Service Pack 3.

Quindi la maggior parte dell’installato Microsoft attuale, compresi i server installati in modalità Core.

Inoltre, la vulnerabilità interessa il Remote Desktop Protocol, uno dei protocolli più usati per il controllo remoto di macchine (in particolare server), soprattutto in ambito aziendale.
Sebbene il protocollo sia disabilitato di default all’installazione di un nuovo sistema, spesso tra le primissime azioni eseguite da un amministratore c’è quella di permettere connessioni RDP dall’esterno.
Magari addirittura pubblicandone il servizio su internet.

La patch modifica il modo in cui il protocollo e il servizio RDP elaborano i pacchetti.
I sistemi che non hanno protocollo e servizio abilitati non sono interessati dal problema (ma non è detto che non lo siano in futuro, quindi il consiglio è di patcharli lo stesso).

Ma quali danni può fare un hacker che sfrutti questa vulnerabilità?

Essa deriva da una gestione non corretta da parte del servizio RDP degli accessi alla memoria di un oggetto “fantasma”, ossia non correttamente inizializzato o distrutto.

Secondo il bollettino, “un utente malintenzionato potrebbe eseguire codice dannoso nel sistema di destinazione e quindi installare programmi, visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi”.

Quindi potenzialmente ci troviamo in uno scenario simile a quelli che hanno generato la diffusione del worm Conficker (che pare abbia infettato tra i 3 e i 9 milioni di computer) o, andando più indietro nel tempo, di Blaster, Sasser o SQL Slammer: Microsoft ha identificato una vulnerabilità grave e ha prodotto la relativa patch molto rapidamente, ma la negligenza degli amministratori o policy di auto-update poco efficaci fanno in modo che questa non venga installata, e quindi i computer rimangono vulnerabili.

Tanto per alimentare un po’ di sana “preoccupazione”, secondo gli analisti di Microsoft è probabile che un malware che sfrutta la vulnerabilità venga diffuso già entro la metà di aprile, magari sfruttando date particolari come il primo di aprile o la Pasqua, nelle quali fisiologicamente aumenta l’invio di messaggi di posta elettronica non richiesti.

Tu quali policy di installazione delle patch critiche per il software Microsoft hai implementato?
 

Autore
Furio Borsi
Si appassiona al mondo digitale fin da bambino, con il glorioso Commodore 64, sul quale si diverte a scrivere semplici programmi in Basic e modificare giochi. Nel 1990 riceve in regalo il suo primo PC (i386), seguito un paio d'anni dopo da un i486dx. In questi anni affina le sue attitudini al problem solving, scassando hardware e software e divertendosi a rimetterlo a posto. ;) Diventa così "quello che se ne capisce" per i suoi familiari e amici, arrivando a collaborare con alcuni studi professionali per la gestione del parco macchine e dei server Windows. Finito il liceo, studia DAMS con indirizzo multimediale a Bologna e Imperia. Nel 2002, dopo un anno sabbatico a Londra, lavora come sviluppatore junior in un'azienda che produce software per database territoriali in ambito Pubblica Amministrazione. In questo periodo si avvicina con passione a problematiche sistemistiche e di network management su reti estese. Nel 2007 entra a far parte dello staff di Achab, per cui si occupa di formazione e supporto, in particolare riguardo a Kaseya, e gestione del parco macchine e della rete.
Commenti (2)

se si pensa che quando giro per i clienti ad aggiornare i server ed i client vengo quasi trattato male dai responsabili IT [non so poi perchè vengano chiamati tali dato che nemmeno sanno aggiungere un pc in dominio] che mi dicono di non aggiornare niente perchè ciò che funziona non si tocca

Luca,

Ciao Luca,
in effetti quella che denunci è una convinzione diffusa. Tuttavia l’eroe dell’IT (vedi presentazione del blog: http://www.achab.it/blog/index.cfm/2011/10/benvenuto-in-achablog-il-blog-per-gli-eroi-dellit.htm) ha anche il compito di evangelizzare i clienti e diplomaticamente imporre loro le best practice per rendere più efficiente la loro rete. Quindi persevera: il rischio che una patch non installata possa generare danni in futuro è molto concreto. 😉

Furio Borsi,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.