A Microsoft nyomozza, hogy honnan szivároghatott ki a PoC kód az MS12-020-ra

Microsoft, Windows

A Microsoft Security Response Center is felfigyelt a hírre, miszerint egy PoC exploit bukkant fel szabadon a Microsoft RDP implementációjában található sebezhetőségre. A PoC a sebezhetőséget felfedező Luigi Auriemma szerint ugyanazt a speciálisan összeállított csomagot tartalmazza, amelyet átadott a ZDI-nek és amely tavaly augusztusban a Microsoft-hoz került. Felmerült, hogy az információ belülről szivároghat ki. Az MSRC megerősítette, hogy valóban úgy néznek ki az exploitban található kód részletei, mint az, amelyet a Microsoft Active Protection Program (MAPP) résztvevői NDA alatt megkaptak. A redmondi vállalat közölte, hogy vizsgálja ezen adatok nyilvánosságra hozatalát és azt ígéri, hogy megteszi a szükséges lépéseket annak érdekében, hogy megvédje ügyfeleit, illetve, hogy az általa a partnerei számára kiadott bizalmas információk védve legyenek. A részletek itt olvashatók.

( Hijaszu | 2012. 03. 17., szo – 09:44 )

Bennem inkább a következő kérdések merültek fel:
- Attól, hogy ugyanaz a csomagok tartalma amelyet felhasznál, honnét tudják, hogy az eredeti szerzőtől kapták meg a PoC-t?
- Miből gondolják, hogy csak egyvalaki tud rájönni a hibára?

Szerkesztés: közben visszafelé haladva a cikkekben, kiderült miből gondolják, hogy ők írták.

Ja, a linkelt írásban benne van:

Why I know it's the same packet?

The packet was captured during a quick RDP session and modified by hand in the following details making it unique:

- the vulnerability location (maxChannelIds), obviously :)
- the hostname was changed to "HOST"
- the guid was set to zeroes
- the BER numbers were converted from 8 to 32bit for easier debugging
and so modifying the fields of the original packet
- something else I don't remember

Illetve az MSRC-re debug stringek utalnak:

The executable PoC was compiled in November 2011 and contains some debugging strings like MSRC11678 which is a clear reference to the Microsoft Security Response Center:
http://www.microsoft.com/security/msrc/default.aspx

--
trey @ gépház

( Fisher v | 2012. 03. 17., szo – 11:59 )

Még jó hogy eddig nem tudtam róla, hogy ez a hiba augusztus óta ismert... azt hittem hogy valami friss felfedezés, azért a nagy kapkodás, hogy tegye fel mindenki a javítást de nagyonnagyon gyorsan.

( sh4d0w808 | 2012. 03. 17., szo – 19:03 )

Jól értem, tavaly augusztusban kapott a microzsé PoC kódot és még mindig nincs rá javítás? Ha ez így van, nincs egy kicsit fals felhangja a "A redmondi vállalat közölte, hogy vizsgálja ezen adatok nyilvánosságra hozatalát és azt ígéri, hogy megteszi a szükséges lépéseket annak érdekében, hogy megvédje ügyfeleit, illetve, hogy az általa a partnerei számára kiadott bizalmas információk védve legyenek" nyilatkozatnak?

-------------------------
Trust is a weakness...

( hokuszpk | 2012. 03. 19., h – 12:33 )

a symantecet megkerdeztek mar az ugyben ?