Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

La vulnerabilità del Remote Desktop Protocol - ‘CVE-2012-0002’- non è ancora risolta!
- MERCOLEDÌ 14 DICEMBRE 2016

Il 13 marzo 2012, Microsoft ha rivelato sulla propria bacheca una 'vulnerabilità critica' chiamata Remote Desktop Protocol Vulnerability - CVE-2012-0002 .A distanza di quattro anni questa vulnerabilità non è stata risolta ma viene ancora sfruttata dai cyber-criminali durante l'accesso in modalità remota nei computer delle vittime. 


I Sistemi operativi interessati sono :
Microsoft Windows XP SP2 e SP3
Windows Server 2003 SP2
Windows Vista SP2
Windows Server 2008 SP2, R2, e R2 SP1
Windows 7 gold e SP1
 
A quanto pare diversi "exploit framework" e "public advisories" sono noti per ospitare il codice exploit per la vulnerabilità. Questo permette anche ai cyber-criminali meno esperti di sfruttare la debolezza, l'unica cosa che devono  fare è rilevare l'impronta digitale del dispositivo della vittima che in quel momento ha la porta RDP 3389 aperta.

Vulnerabilità...
Mentre viene gestito il campo 'maxChannelIds' della richiesta ‘ConnectMCSPDU’, una vulnerabilità "use-after-free" viene attivata portando all'esecuzione di un codice remoto da un server RDP (Remote Deskotp Protocol). I dettagli tecnici completo di questa vulnerabilità possono essere approfonditi qui 


Quick Heal Labs ha osservato la tendenza da parte dei cyber-criminali a sfruttare questa vulnerabilità negli ultimi 4 mesi. L'undici novembre ed il dodici dicembre 2016 mostrano un picco di attività.
                                                                       
Ip dannosi...
Come osservato, i dispositivi colpiti da CVE-2012-0002 erano collegati a Internet e stavano effettuando l'accesso in remoto, per questo motivo avevano la porta RDP 3389 aperta. Mantenere le porte che consentono l'accesso a servizi importanti disponibili al remoto è una pratica estremamente pericolosa e si consiglia vivamente di evitarla.
Di seguito sono riportati alcuni degli IP che attaccano sfruttando la vulnerabilità (CVE-2012-0002).

• 183.207.184.195 
• 123.30.236.140 
• 124.65.37.50 
• 188.247.20.104 
• 202.130.106.17 
• 46.100.50.204 
• 62.210.211.86 
• 80.58.182.245 
• 61.160.166.23 
• 120.27.7.118

La maggior parte degli indirizzi IP di cui sopra sono nella lista nera su vari scanner online di IP dannosi come www.abuseipdb.com

Le soluzioni di Quick Heal...
Quick Heal ha rilasciato l' IPS (Intrusion prevention system)  per la vulnerabilità CVE-2012-0002.

VID-00114: [MS12-020] Microsoft RDP Remote Code Execution Vulnerability
VID-00116: [MS12-020] Microsoft RDP Remote Code Execution Vulnerability
VID-00117: [MS12-020] Microsoft RDP Remote Code Execution Vulnerability

Inoltre, molti attacchi ransomware sono stati effettuati utilizzando attacchi brute force sull'RDP.  E per far fronte a tali attacchi, le Ips da poco rilasciate sono le seguenti: 

VID-01087: RDP Brute force attack detection
VID-01088: RDP Brute force attack detection
VID-01089: RDP Brute force attack detection
VID-01090: RDP Brute force attack detection
VID-01092: RDP Brute force attack detection

Nonostante la vulnerabilità sia stata scoperta diversi anni fa questa viene ancora utilizzata dai malintenzionati per colpire le vittime attraverso l'accesso remoto sui sistemi operativi Windows. Questo porta ad una forte necessità di tenere i propri sistemi operativi aggiornati con tutte le novità in termini di sicurezza: è fondamentale utilizzare software di sicurezza multi-livello   


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login