Вчера состоялся традиционный ежемесячный выпуск патчей от компании Microsoft. В этот раз он включил в себя патчи для четырёх уязвимостей в Windows, одной уязвимости в Microsoft Visual Studio и одной уязвимости в Microsoft Expression Design.
Мартовский набор патчей не совсем обычный. Дело в том, что он включает в себя одну опасную и очень соблазнительную уязвимость в Remote Desktop Protocol (см. CVE-2012-0002). В связи с тем, что протокол RDP используется для удалённого управления компьютером, уязвимость в нём открывает широкие возможности перед злоумышленниками для удалённого исполнения кода. Без каких-либо дополнительных усилий они могут легко получить контроль над компьютером жертвы.
Уязвимости в RDP подвержены все версии Windows. Протокол RDP используется для удалённого управления Windows-системами, в том числе в облачных сервисах вроде Amazon AWS.
Нужно отметить, что будущий эксплойт будет эффективен только против систем, в которых активирована функция RDP («Удалённый помощник»), а функция NLA (network level authentication) установлена в значение пост-аунтентификации. Вообще, в Windows по умолчанию RDP отключен.
Специалисты Microsoft оценивают срок появления эксплойта для RDP в тридцать дней, после чего тот будет включён во многие популярные наборы эксплойтов. Они говорят, что написание эксплойта всё-таки не является тривиальным, так что вряд ли кто-то сможет сделать это в ближайшие дни, но 30 дней — это максимум. Исходя из статистики Microsoft известно, что свежие патчи устанавливают в течение месяца относительно небольшое количество пользователей, поэтому эксплойт для RDP станет очень эффективным оружием. Microsoft говорит, что можно ожидать широкомасштабной эпидемии нового червя.
В связи с этим всем пользователям настоятельно рекомендуется установить мартовский набор патчей, или хотя бы один только MS12-020.