Su un sito web cinese è apparso in queste ore il codice “proof-of-concept” in grado di sfruttare la vulnerabilità presente nell’implementazione del protocollo RDP in ambiente Windows e sanabile mediante l’installazione della patch MS12-020 rilasciata martedì scorso. Acronimo di “Remote Desktop Protocol“, RDP è un protocollo sviluppato da Microsoft che permette la connessione remota di un computer ad un altro sistema in forma grafica e che utilizza, per default, la porta TCP 3389. Il protocollo è di impiego molto comune perché in Windows è utilizzato dalla funzionalità “Desktop remoto” (ved. la nostra news dedicata al “patch day” di marzo).
Dopo la pubblicazione del codice in grado di far leva sulla vulnerabilità di sicurezza, l’Internet Storm Center di SANS, considerata la gravità della problematica, ha immediatamente deciso di aumentare a “giallo” il livello d’allerta (ved. questa pagina). La mancata applicazione della patch MS12-020, infatti, potrebbe esporre il sistema vulnerabile ad attacchi provenienti dall’esterno dal momento che l’aggressione – e la conseguente esecuzione di codice dannoso – si verificherebbe prima di qualunque meccanismo di autenticazione.
Luigi Auriemma, il ricercatore italiano che Microsoft ha pubblicamente ringraziato per aver segnalato la falla di sicurezza, ha però fatto un importante appunto. Secondo l’esperto, le informazioni sui dettagli della vulnerabilità sarebbero cadute nelle mani sbagliate: Auriemma spiega che il codice “proof-of-concept” cinese contiene esattamente le stesse informazioni che l’italiano aveva aggiunto nel codice trasmesso privatamente a Microsoft dopo la scoperta del grave bug di sicurezza.
Il programma MAPP (Microsoft Active Protections Program) prevede che il colosso di Redmond fornisca dettagli tecnici sulle vulnerabilità ai produttori di software antivirus e di soluzioni per la protezione aziendale e la prevenzione delle intrusioni. Come spiegato da Microsoft sul suo stesso sito web, vengono seguite procedure molto rigorose per scongiurare i rischi che informazioni importanti possano cadere nelle mani sbagliate. Auriemma punta però il dito e fa presente che qualcosa dev’essere andato storto, o lato Microsoft, oppure lato TippingPoint ZDI (Zero Day Initiative) con cui il ricercatore ha collaborato per l’individuazione del bug.
L’italiano spiega che nel codice trasmesso a Microsoft aveva inserito degli elementi tali da renderlo “unico”: gli stessi elementi sarebbero facilmente individuabili nel codice apparso in Cina nelle scorse ore.