Microsoft abandonne RDCMan suite à une faille de sécurité
Microsoft a abandonné cette semaine son application Remote Desktop Connection Manager (RDCMan) suite à la découverte d’une faille de sécurité. Comme son nom l’indique, l’application permet de se connecter à distance à d’autres ordinateurs Windows via RDP (Remote Desktop Protocol).
L’application, qui a été développée par l’ancienne équipe Windows Live Experience pour ses besoins internes, était disponible en téléchargement sur le site de Microsoft depuis la fin des années 2000. Ce n’est plus le cas. RDCMan a toujours été un outil autonome, proposé à part du système d’exploitation Windows. Mais il a connu un grand succès auprès des administrateurs système à la fin des années 2000 et au début des années 2010, lorsque peu d’outils de ce type étaient disponibles en ligne gratuitement.
Microsoft a maintenu l’outil à jour au fil des ans, atteignant même la version 2.7 en 2014, date de sa dernière mise à jour. Cependant, RDCMan n’a jamais été une solution complète pour la gestion à distance, et Microsoft a déployé des outils alternatifs au fil des ans.
Cela inclut un outil de gestion à distance intégré (MSTSC) dans le système d’exploitation Windows lui-même et la publication d’une application officielle sur le Windows Store : Remote Desktop. Alors que Microsoft déployait de nouveaux outils, la société savait que la fin de RDCMan était proche. Dans un document de support publié l’année dernière, Microsoft demandait aux utilisateurs de migrer vers ces deux nouvelles solutions. Microsoft a déclaré que les deux nouveaux outils supportent plus de fonctionnalités et reçoivent régulièrement des mises à jour de sécurité.
Cependant, aujourd’hui, de nombreux utilisateurs continuent à utiliser RDCMan, principalement parce que l’application dispose de meilleures fonctionnalités pour gérer plusieurs connexions à la fois, une fonctionnalité souvent utilisée dans les environnements d’entreprise.
Mais cette semaine, avec la publication du patch de mars 2020, la disparition officielle de RDCMan a été prononcée. Microsoft a déclaré avoir reçu un rapport sur un nouveau bogue dans RDCMan qui pourrait permettre à un attaquant de récupérer des données sur l’ordinateur d’un utilisateur de RDCMan.
“Pour exploiter la vulnérabilité, un attaquant pourrait créer un fichier RDG contenant un contenu XML spécialement conçu et convaincre un utilisateur authentifié d’ouvrir le fichier”, a déclaré Microsoft dans un avis de sécurité (CVE-2020-0765). Au lieu de corriger la faille, Microsoft a décidé de mettre RDCMan à la retraite, ne voyant aucune raison de faire revivre une application qui a reçu sa dernière mise à jour il y a près de six ans. Les utilisateurs qui continuent à utiliser l’application doivent savoir qu’ils ne doivent pas ouvrir les fichiers RDCMan connection configuration (RDG) qu’ils reçoivent de manière non sollicitée ou de sources inconnues.
Source : ZDNet.com
