Zestawienie tygodniowe 9 – 16 marca

Microsoft ogłosił w tym tygodniu, że wycofał się z Menedżera połączeń usług pulpitu zdalnego (RDCMan) ze względów bezpieczeństwa

Aplikacja istnieje od dziesięcioleci, zapewniając użytkownikom możliwość zarządzania wieloma połączeniami zdalnego pulpitu, ale Microsoft od dawna inwestuje w inne rozwiązania, aby zapewnić użytkownikom zdalny dostęp.

Już w ubiegłym roku Microsoft zachęcił użytkowników do przejścia na wbudowanego klienta pulpitu zdalnego (MSTSC) lub uniwersalnego klienta pulpitu zdalnego, argumentując, że RDCMan „nie dotrzymał kroku zaawansowanej technologii”.

W tym tygodniu, Przy okazji marcowej łatki, Microsoft ujawnił, że RDCMan jest podatny na ujawnianie informacji, które nie zostaną rozwiązane, ponieważ aplikacja została wycofana. RDCMan nieprawidłowo analizuje dane XML zawierające odwołanie do zewnętrznego obiektu. Może to pozwolić osobie atakującej na odczyt dowolnych plików za pośrednictwem deklaracji zewnętrznego obiektu XML (XXE). „Aby wykorzystać tę lukę, osoba atakująca może utworzyć plik RDG zawierający specjalnie spreparowaną zawartość XML i przekonać uwierzytelnionego użytkownika do otwarcia tego pliku”, powiedział Microsoft w poradniku. Luka w zabezpieczeniach, która, jak stwierdzono, ma wpływ na Remote Desktop Connection Manager 2.7, ma umiarkowany wskaźnik ważności, bez zidentyfikowanych czynników łagodzących. Nie znaleziono również obejścia tego problemu.

„Microsoft zaleca używanie obsługiwanych klientów pulpitu zdalnego i zachowanie ostrożności podczas otwierania plików konfiguracyjnych RDCMan (.rdg)”, zauważa firma.

Marcowe wydanie jest zresztą istotne z innych powodów. Microsoft usunął w sumie 115 luk w tym 26 krytycznych wad w Windows, Word, Dynamics Business Central i przeglądarkach internetowych. W czwartek firma opublikowała aktualizacje w celu usunięcia krytycznego błędu zdalnego wykonania kodu w serwerze Windows Message Block 3.0 (SMBv3).

Google ułatwia rejestrację kluczy 2FA na urządzeniach z Androidem i MacOS

Użytkownicy Google mogą rejestrować klucze bezpieczeństwa na urządzeniach z Androidem z systemem Android 7.0 „N” i nowszymi, używając Chrome w wersji 70 lub nowszej. Klucze można również zarejestrować na urządzeniach z systemem macOS przy użyciu przeglądarki Safari w wersji 13.0.4 i nowszych. Ten ruch znosi kolejne bariery dla użytkowników stosujących uwierzytelnianie dwuskładnikowe (2FA) w celu ochrony kont Google przed atakami typu phishing – w szczególności niestandardowymi próbami phishingu sponsorowanymi przez państwa. Jest to solidna obrona przed phishingiem, ponieważ logowanie wymaga fizycznego dostępu do klucza bezpieczeństwa, którym może być zarówno smartfon, jak i klucz bezpieczeństwa USB, taki jak Google Titan Keys lub sprzętowe klucze bezpieczeństwa Yubico.

w 2018 r. inżynier Google ujawnił, że mniej niż 10% kont Gmail używa 2FA z powodu problemów z użytecznością. Nawet wśród programistów, którzy powinni mieć większą wiedzę na temat bezpieczeństwa i korzystać z narzędzi takich jak 2FA, adopcja jest równie niska.

Aktualizacja Chrome-Android i Safari-macOS dla kluczy bezpieczeństwa do kont Google dotyczy również zaawansowanego programu ochrony Google skierowanego do użytkowników wysokiego ryzyka, takich jak szefowie, politycy i dziennikarze. „Ułatwiając rejestrację kluczy bezpieczeństwa, mamy nadzieję, że więcej użytkowników będzie mogło skorzystać z oferowanej przez nich ochrony”, komentują przedstawiciele Google.