Microsoft corrige falha grave na ‘Área de Trabalho Remota’

O pacote de atualizações da Microsoft de março corrige uma falha classificada como crítica no recurso da Área de Trabalho Remota, devido a um problema no Remote Desktop Protocol (RDP). A brecha permite que um invasor obtenha controle total da máquina vulnerável, podendo instalar programas, ver, modificar ou deletar dados, e criar uma nova conta no sistema com privilégios de administrador.

Para poder explorar a falha, descrita no boletim MS12-020, basta que a Área de Trabalho Remota esteja habilitada e exposta para a internet. Essa não é a configuração padrão do Windows, mas muitas máquinas têm essa configuração modificada por conveniência.

A vulnerabilidade está na forma como o RDP acessa um objeto na memória que tenha sido inicializado de forma imprópria ou que já tenha sido deletado.

A Área de Trabalho Remota está presente em todas as versões do Windows, mas não está ativada por padrão. Para usar esse recurso é preciso que ele seja ativado e configurado pelo administrador da rede e por isso acaba sendo uma característica mais frequente em redes empresariais. Quem usa a Assistência Remota também terá esse recurso habilitado.

O que é o RDP?

O RDP é um protocolo usado pelo Windows para permitir que um computador possa ver a área de trabalho do outro. Ele é usado pelo programa chamado Conexão de Área de Trabalho Remota.

Ele é frequentemente ativado em computadores que recebem assistência técnica remota, como em redes de empresas que têm um departamento de TI. Ele não está ativado nas configurações de fábrica do Windows.

Segundo Dave Marcus, diretor de pesquisa avançada e inteligência de ameaças da McAfee Labs, esse boletim da Microsoft deve ser considerado como máxima prioridade, visto que a própria Microsoft classificou o seu índice de explorabilidade como 1, o que significa que ela acredita que em menos de 30 dias já haverá malwares explorando esta falha.

O mesmo boletim ainda conserta uma falha menos grave no Servidor de Terminal. A forma como o RDP processa as requisições ao serviço Servidor de Terminal tem uma vulnerabilidade de negação de serviço que, se for explorada, permite ao atacante fazer o serviço parar de responder.

As demais atualizações do pacote de hoje corrigem falhas relacionadas ao Microsoft Expression Design e Microsoft Visual Studio. São cinco falhas, todas com a classificação “Importante”.

Todas as atualizações estão disponíveis pelo Microsoft ou Windows Update.

Vírus já usaram RDP

Mesmo sem nenhuma vulnerabilidade, pragas digitais já utilizaram o serviço de RDP.

Em agosto do ano passado a F-Secure comunicou sobre o worm “Morto”: um malware que se propaga pela rede procurando por máquinas que estejam usando o RDP. Quando encontra, ele faz um ataque de força bruta tentando quebrar senhas e, posteriormente, autocopia-se para a máquina atacada, permitindo que ela seja controlada remotamente por um invasor.

Em julho, a Linha Defensiva divulgou a existência de um vírus que criava um usuário chamado Remo para permitir que criminosos brasileiros controlassem os computadores infectados remotamente.

Saiba se o RDP está ativado no seu computador

• Clique no menu Iniciar
• Clique com o botão direito em Computador
• Selecione Propriedades
  • Se você estiver no Windows Vista e 7, procure a opção Configurações avançadas no do sistema no menu esquerdo.
• Clique na aba Remoto
• Verifique a configuração no segundo grupo (Área de Trabalho Remota). Se estiver marcada a opção “Não permitir conexões com este computador“, você não está vulnerável.
• Se estiver marcada uma das outras opções ou você precisa da Área de Trabalho Remota, apenas instale a atualização da Microsoft configurando as atualizações automáticas no Painel de Controle.
• Não é preciso ter o RDP ativado para acessar outros computadores. A configuração só define se outras pessoas podem acessar o seu computador.