Microsoft a relancé l’application Remote Desktop Connection Manager (RDCMan) qui était obsolète l’année dernière en raison d’un important bug de divulgation d’informations sur la gravité que la société a décidé de ne pas corriger.

RDCMan est un client Windows RDP (Remote Desktop Protocol) utilisé par les administrateurs système pour gérer plusieurs connexions de bureau à distance.

Après l’arrêt de l’application, Microsoft a conseillé aux clients de passer à la connexion Bureau à distance intégrée à Windows (%windir%system32mstsc.exe) ou au client Bureau à distance universel.

« Une vulnérabilité de divulgation d’informations existe dans l’application Remote Desktop Connection Manager (RDCMan) lorsqu’elle analyse de manière incorrecte une entrée XML contenant une référence à une entité externe », a expliqué Microsoft dans l’avis de sécurité de mars 2020.

« Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait lire des fichiers arbitraires via une déclaration d’entité externe XML (XXE). »

Les attaquants pourraient exploiter le bogue (suivi comme CVE-2020-0765) en incitant des cibles authentifiées à ouvrir des fichiers RDG contenant du contenu XML conçu de manière malveillante.

RDCMan réactivé en tant qu’outil Sysinternals

Cependant, comme l’a révélé Mark Russinovich, CTO de Microsoft Azure, plus tôt cette année, la société a ajouté RDCMan à la boîte à outils Windows Sysinternals et a publié la version 2.8 fin juin.

« Bonne nouvelle pour les fans de RDCMan (Remote Desktop Connection Manager) (comme moi): nous l’avons sauvé de l’abandon en intégrant Sysinternals », a déclaré Russinovich en février, confirmant le renouveau de l’outil. « Recherchez ses débuts Sysinternals dans un proche avenir. »

Beaucoup d’entre vous l’ont demandé : la première version de Sysinternals RDCMan arrive la semaine prochaine. Corrections de bogues (y compris une correction de bogues de sécurité) et exécutable à fichier unique (un attribut Sysinternals).

– Mark Russinovich (@markrussinovich) 17 juin 2021

Bien que la société n’ait partagé aucun détail sur la faille de sécurité corrigée dans RDCMan 2.8, la vulnérabilité corrigée n’était pas celle qui a conduit à…