ExpressVPN устранила ошибку в Windows, из-за которой раскрывался трафик удаленного рабочего стола.

Компания ExpressVPN выпустила новое обновление для своего приложения под Windows, предназначенное для устранения уязвимости, которая могла приводить к незащищенности трафика Remote Desktop. Если вы используете ExpressVPN на Windows, рекомендуется как можно скорее загрузить версию 12.101.0.45, особенно если вы используете протокол Remote Desktop Protocol (RDP) или любой другой трафик через TCP порт 3389.

ExpressVPN объявила об уязвимости и ее устранении в публикации в своем блоге ранее на этой неделе. Согласно этой публикации, независимый исследователь, известный как Adam-X, сообщил об ошибке 25 апреля, чтобы получить вознаграждение от программы Bug Bounty ExpressVPN. Adam-X заметил, что некоторый внутренний отладочный код, который оставлял трафик на TCP порту 3389 незащищенным, ошибочно был отправлен клиентам. ExpressVPN выпустила обновление примерно через пять дней, в версии 12.101.0.45 для Windows.

Как отмечает ExpressVPN в своем объявлении об обновлении, маловероятно, что эта уязвимость была фактически использована. Любой потенциальный злоумышленник должен был бы не только знать об этой ошибке, но и обмануть свою цель, чтобы она отправила веб-запрос через RDP или другой трафик, использующий порт 3389. Даже если бы все сработало, злоумышленник мог бы увидеть только реальный IP-адрес своей цели, но не какие-либо передаваемые данные.

Даже если опасность была небольшой, приятно видеть, что ExpressVPN оперативно реагирует на недостатки в своем продукте. Программы Bug Bounty – это здорово, но продукт безопасности должен защищать своих пользователей максимально возможным количеством мер предосторожности. В дополнение к устранению этой уязвимости, компания также добавляет автоматические тесты, которые проверяют наличие отладочного кода, случайно оставленного в производственных сборках. Это, а также успешный независимый аудит конфиденциальности в начале 2025 года, производит впечатление о провайдере, который контролирует ситуацию.