Bug di Microsoft Remote Desktop Client per MAC

La recente scoperta di Filippo Cavallarin, CEO di We are Segment, si è rapidamente diffusa, creando un grande interesse a livello internazionale e tra i clienti del gruppo Interlogica.

Infatti, numerose testate internazionali e piattaforme social, incentrate sulla Cyber Security, hanno scritto sulla pubblicazione di Filippo, rendendo questa una scoperta fenomenale da parte di We are Segment. Tra questi titoli possiamo elencare The Register, Security Info e Reddit.

La vulnerabilità svelata, the Remote Code Execution del Microsoft Remote Desktop Client per Mac, si è concentrata sulla criticità nell’implementazione dello schema url RDP, che consente l’accesso remoto alle risorse locali.

Nello schema url rdp è possibile specificare un parametro che consente a un server terminale dannoso di leggere e scrivere la home directory dell’utente senza alcuna interazione o conoscenza.

In “The Register”, si legge: “Microsoft ha tappato un foro nell’esecuzione del codice nel suo client desktop remoto di Mac che consente di leggere e scrivere nelle home directory se gli utenti non fanno altro che cliccare su un link, afferma il ricercatore italiano sulla sicurezza Filippo Cavallarin“.

L’importanza di questa divulgazione ha raggiunto un tale fenomeno che si diffonde rapidamente anche tra i nostri clienti, garantendo all’azienda una grande visibilità.
Il CEO di We are Segment insieme a una proof-of-concept, ha pubblicato anche un video, che è possibile trovare qui sotto, in cui Cavallarin mostra il processo che consente all’attaccante di leggere e scrivere qualsiasi file all’interno della directory della vittima.

La pubblicazione della proof-of-concept ha creato l’urgenza per Microsoft e Apple di risolvere il problema fornendo gli aggiornamenti dei sistemi. Grazie alla collaborazione tra gli hacker di We are Segment e il team di Microsoft Security, il buco è stato patchato nella seconda metà di gennaio.

——–

We are Segment fa parte del gruppo Interlogica ed offre numerosi servizi, dalla consulenza alla formazione tecnologica avanzata nel settore della sicurezza informatica.