Problembeskrivning
Cert.se informerar att sårbarheten kan medge exekvering av godtycklig kod genom att angriparen skickar riggade RDP-paket (Remote Desktop
Protocol). Angriparen behöver inte vara autentiserad. Microsoft har gett denna sårbarhet en etta i ”exploitability
index”, vilket innebär att det är troligt att stabil och fungerande kod som utnyttjar sårbarheten kan
implementeras. Detta tillsammans med att en extern angripare kan utnyttja säkerhetshålet gör den mycket allvarlig.
Modulen ”Remote Desktop” är inte påslagen i en standardinstallation. Det finns inga rapporter på att sårbarheten
utnyttjas aktivt enligt Microsoft.
Lösning
Microsoft har släppt säkerhetsuppdateringar för mars månad, vilka innehåller en rättning av sårbarheten.
Om uppdateringen av någon anledning inte omedelbart kan installeras är följande skydd möjliga:
* Blocka RDP-porten 3389 (TCP) i brandväggen.
* Inaktivera följande tjänster om de inte används: Terminal Services, Remote Desktop, Remote Assistance, eller Windows
Small Business Server 2003 Remote Web Workplace.
* Slå på ”Network Level Authentication” (NLA) för att stänga ute icke-autentiserade användare. Hur detta görs finns
beskrivet i MS12-020 (se nedan)
Mer information
http://technet.microsoft.com/en-us/security/bulletin/ms12-020
http://blogs.technet.com/b/msrc/archive/2012/03/13/strength-flexibility-and-the-march-2012-security-bulletins.aspx
CERT-SE kommer att uppdatera följande sida om ny information kommer:
