A Threatpost (Kaspersky blog) cikke szerint a szabadon kószáló exploit előfutára lehet a kódfuttatást lehetővé tevő exploit-nak. A PoC rendszerösszeomlást (BSoD - W7) okozhat a megtámadott rendszeren, illetve DoS támadásra (Win XP) használható fel.
A kínai rdpclient.exe PoC érdekessége, hogy pontosan ugyanazt az speciálisan összeállított csomagot tartalmazza, amelyet a sebezhetőség felfedezője, Luigi Auriemma átadott a ZDI-nek. Auriemma felvetette, hogy valahol információ szivároghat a láncban. Vagy a Microsoft-tól, vagy a Microsoft által korábban létrehozott Microsoft Active Protection Program-ból (MAPP), annak tagságától, vagy akár a ZDI-től. A Microsoft azért hozta létre a MAPP programot négy évvel ezelőtt, hogy egy válogatott, bevizsgált szűk csoport - security cégek, antimalware program vállalatok stb. - előbb hozzáférhessen az információkhoz, felkészülhessen a védelemre még azelőtt, hogy a Microsoft a javítást kiadná az egyes bugokra.
Amikor a Microsoft a programot elindította, akkor azt mondta, hogy megtette a szükséges lépéseket annak érdekében, hogy ne szivároghasson információ ki a programból. Hogy pontosan milyen lépéseket foganatosított, arról nem beszélt. Voltak, akik már akkor felhívták a figyelmet arra, hogy a programban van rizikó. Ha kiderülne, hogy az infó onnan szivárgott ki, az kellemetlenül érintené a Microsoft programját.
Luigi Auriemma elmondta, hogy nem adott át teljesen működő exploitot a ZDI-nek. Auriemma úgy spekulál, hogy az exploitot a Microsoft Security Response Center (MSRC) írta azért, hogy az segítségre legyen a bugkeresési és -javítási időszakban. Hogy ez így van-e és ha igen, akkor hogyan került ki a szabadba, azt még nem lehet tudni.
Közben Luigi Auriemma saját figyelmeztetőt adott ki a buggal kapcsoltban, amelyből megtudható, hogy azt körülbelül egy évvel ezelőtt (2011. május 16-án) találta meg. A ZDI 2011. augusztus 24-én adta át a hiba leírását a Microsoft-nak.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Majd' egy éven keresztül mi a csodát műveltek?!
- A hozzászóláshoz be kell jelentkezni
A ZDI úgy működik, hogy van egy programja, amelynek keretében privátban felvásárolja a hibaleírásokat a felfedezőktől. Ezt azért teszi, mert van neki egy TippingPoint nevű IPS/IDS/izébigyó terméke (régen a 3Com-é volt, de miután a HP megvette a 3Com-ot, most a HP-é) és a felvásárolt leírások, PoC exploitok alapján ún. "digitális vakcinát" állít elő ezekhez az 0day sebezhetőségekhez. Ezeket a vakcinákat letolja az ügyfeleinél levő TippingPoint dobozokba, amelyek képesek felismerni a hálózati forgalomban az 0day támadásokat és képesek azokat blokkolni. Így az ügyfelei már azelőtt védettek (elvileg) ezekkel a támadásokkal szemben, hogy az érintett szoftver gyártója javítaná a hibát.
Auriemma-tól is megvásárolta a sebezhetőséget a ZDI, majd értesítette a gyártót. A ZDI a saját közlési policy-je szerint 6 hónapot ad a gyártónak arra, hogy az előálljon a javítással. Ha a gyártó nem javít 6 hónap alatt, akkor a ZDI egy korlátozott figyelmeztetőt publikál a sebezhetőségről.
Úgy fest, hogy a Microsoft ki is használta a hat hónapot az utolsó percig. Szóval az az egy év az hat hónap, mert a ZDI tavaly augusztus 24-én értesítette az MS-t.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Szomorú az MS helyzete.
- A hozzászóláshoz be kell jelentkezni
/o\ omg
- A hozzászóláshoz be kell jelentkezni
Ezek szerint ha mondjuk en rossz vagyok, es elofizetek erre a szolgaltatasra, akkor kapok valami kutyut, amit idonkent frissitenek. Ha en vissza tudom fejteni, hogy mi a frissites lenyege (mi az a gonoszsag, amit felismer), akkor elvileg lehetosegem van arra, hogy kb. fel evvel a javitas elott megtudjak egy-egy sebezhetoseget. Persze nyilvan nehezebb egy ilyesmibol rajonni a konkret hibara, mint egy PoC vagy egy patch alapjan, de ha eleg sokan vagyok, es eleg ferde a szemem, akkor valoszinuleg vissza tudom fejteni ebbol is. Fel ev alatt siman megtehetem.
Ez igy tenyleg mukodik? Vagy hol a hiba a gondolatmenetemben?
--
R2D2 a filmtörténet legmocskosabb szájú karaktere.
Minden szavát kisípolták.
- A hozzászóláshoz be kell jelentkezni
eleg sokan vagyok, es eleg ferde a szemem
:D
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni
>> hol a hiba a gondolatmenetemben?
a visszafejtéshez nem kell sok ferde szem
egyébként sehol
- A hozzászóláshoz be kell jelentkezni
Így, de azt azért hozzá kell tenni, hogy a legtöbb ZDI sebezhetőség nem ilyen high-profile.
--
"You're NOT paranoid, we really are out to get you!"
- A hozzászóláshoz be kell jelentkezni
igen, ott, hogy nem kell hozza sok, es nem kell hozza ferde szem :)
___
info
- A hozzászóláshoz be kell jelentkezni
sokféleképpen megfogalmaztam a kommentemet, itt a végső verzió:
:D
- A hozzászóláshoz be kell jelentkezni
Azért ezt még lehetne fokozni!
- A hozzászóláshoz be kell jelentkezni
Még azt is el tudom képzeni, hogy direkt hiba a cuccban, Irán ellen :))
- A hozzászóláshoz be kell jelentkezni
egyébként frissítettem, win2003, el is füstölt az rdp kapcsolatom, majd hétfőn ránézek, mi a gáz, mert a többi cucc megy a szerveren
- A hozzászóláshoz be kell jelentkezni
de a sebezhetoseg foltozva, megszunt letezni az rdp :-D
--
FBK
- A hozzászóláshoz be kell jelentkezni
Én is remote frissítettem, nincs gond vele. Ugyancsak 2003.
- A hozzászóláshoz be kell jelentkezni
Szerintem meg Vilmos csaszar ellen, csak szokas szerint kestek vele egy kicsit. Amugy naptarat szoktal nezni? XP is erintett, es amikor az kijott, meg nagyon nem ok voltak a fogonoszok.
--
R2D2 a filmtörténet legmocskosabb szájú karaktere.
Minden szavát kisípolták.
- A hozzászóláshoz be kell jelentkezni
Ha kiderülne, hogy az infó onnan szivárgott ki, az kellemetlenül érintené a Microsoft programját.
Eléggé valószínű, hogy a MAPP egyik tagjától szivárgott ki a PoC. A különböző Beijing cégektől a Jiangminen át a Sangforig van egy rakás kínai partner, amelyek nem biztos, hogy magukban tudták tartani az infót.
- A hozzászóláshoz be kell jelentkezni
MSRC: Proof-of-Concept Code available for MS12-020
http://bugslap.com/comics/0x00000007.png
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Vajh a prog.hu mit ír erről...
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
Óvatosan a frissítéssel.
VPS-eken ennek hiányából vagy épp a frissítések miatt kék halált kapnak a windows rendszerek. Több szolgáltatónál is.
Ha nem használod a távoli asztalt, sőt le is tíltod és webadminon keresztül piszkálod a windowst, semmi baja.
Amint belépsz távolival, kék halál, újraindulás.
Nagy taps az MS-nek.
- A hozzászóláshoz be kell jelentkezni
Mitől más a VPS-ben futó szerver mint mondjuk VMware ESX-en? Jó néhány szervert frissítettem meg a napokban (Win2k3 fizikai és virtuális / Win2k8 fizikai és virtuális) de semmi problémát sem láttam eddig.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Akkor lehet, hogy Citrix érzékeny ez a patch , de több Citrix Xenserverben futó VM elhasalt a mai naptól és ciklikusan rebootolnak.
Több kiszolgálón is. Ismerősökkel beszélve máshol is.
- A hozzászóláshoz be kell jelentkezni
Mármint a KB2621440-től? Rollback-elve jó lett? Gondolom előtte egy snapshot azért volt :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nem tudom ki frissített és ki nem, de globális jelenség, hogy bizonyos windowsok nem képesek talpon maradni, ha becsatlakoznak távoli asztallal. Épp most is jött egy visszajelzés az egyik ügyféltől, hogyha nem távoli asztalról lépnek be, akkor stabilan üzemel (kb 5 ilyen visszajelzés jött már)
Nem tudom, hogy kinél fut az auto update, na meg az MS mennyire sunyi módon telepíti fel a kötelező javításokat (azt hiszem volt rá példa kikapcsolt update mellett is).
Érintve van xp, win2003, win2008 is.
- A hozzászóláshoz be kell jelentkezni
Jaja. Azért kérdeztem, mert lassan 4 napja mást sem csinálok, mint ezt telepítem (most is), de nekem még nem volt problémám.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Úgy tűnik, hogy a frissítés hiánya az eredendő ok az újraindulásokra ill. az, hogy folyamatosan sorra lövik a tartományokat.
Nem ritkán 2 percenként kapnak egy szeretet csomagot a windowsok.
Nem csak itt, ismerösöknél is.
Szép heteknek néznek elébe a windows adminok :)
- A hozzászóláshoz be kell jelentkezni
Nem értem. "dj" szakértő szerint túl van lihegve a téma. Mi akkor a probléma?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni