PoC exploit szabadon a Microsoft RDP implementáció sebezhetőségére (MS12-020)

Titkosítás, biztonság, privát szféra

Nem tartott sokáig, hogy szabadon elérhető Proof-of-Concept (PoC) exploitot fedezzenek fel az MS12-020-ra. Az sem kizárt, hogy információ szivárog vagy a Microsoft-tól, vagy a Microsoft Active Protection Program-ból (MAPP), a programban szereplőktől, vagy a ZDI-től..
A Microsoft kedden jelentette be, hogy távolról kihasználható, kritikus sebezhetőség található az RDP implementációjában. A Microsoft sürgette a rendszeradminisztrátorokat az azonnali patchelésre, mert attól tartott, hogy 30 napon belül kódfuttatást lehetővé tevő exploit bukkanhat fel a hibára. A hírek szerint kínai fórumokon már felbukkant egy exploit. Nem is akármilyen.

Frissítve: Auriemma egy írást tett közzé, amelyben egyebek mellett az olvasható, hogy miért gondolja azt, hogy a rondán megírt PoC-t a Microsoft készítette, illetve néhány lehetséges forgatókönyvet vázol fel arról, hogy hogyan szivároghatott ki a cucc.

A Threatpost (Kaspersky blog) cikke szerint a szabadon kószáló exploit előfutára lehet a kódfuttatást lehetővé tevő exploit-nak. A PoC rendszerösszeomlást (BSoD - W7) okozhat a megtámadott rendszeren, illetve DoS támadásra (Win XP) használható fel.

A kínai rdpclient.exe PoC érdekessége, hogy pontosan ugyanazt az speciálisan összeállított csomagot tartalmazza, amelyet a sebezhetőség felfedezője, Luigi Auriemma átadott a ZDI-nek. Auriemma felvetette, hogy valahol információ szivároghat a láncban. Vagy a Microsoft-tól, vagy a Microsoft által korábban létrehozott Microsoft Active Protection Program-ból (MAPP), annak tagságától, vagy akár a ZDI-től. A Microsoft azért hozta létre a MAPP programot négy évvel ezelőtt, hogy egy válogatott, bevizsgált szűk csoport - security cégek, antimalware program vállalatok stb. - előbb hozzáférhessen az információkhoz, felkészülhessen a védelemre még azelőtt, hogy a Microsoft a javítást kiadná az egyes bugokra.

Amikor a Microsoft a programot elindította, akkor azt mondta, hogy megtette a szükséges lépéseket annak érdekében, hogy ne szivároghasson információ ki a programból. Hogy pontosan milyen lépéseket foganatosított, arról nem beszélt. Voltak, akik már akkor felhívták a figyelmet arra, hogy a programban van rizikó. Ha kiderülne, hogy az infó onnan szivárgott ki, az kellemetlenül érintené a Microsoft programját.

Luigi Auriemma elmondta, hogy nem adott át teljesen működő exploitot a ZDI-nek. Auriemma úgy spekulál, hogy az exploitot a Microsoft Security Response Center (MSRC) írta azért, hogy az segítségre legyen a bugkeresési és -javítási időszakban. Hogy ez így van-e és ha igen, akkor hogyan került ki a szabadba, azt még nem lehet tudni.

A részletek itt és itt.

Közben Luigi Auriemma saját figyelmeztetőt adott ki a buggal kapcsoltban, amelyből megtudható, hogy azt körülbelül egy évvel ezelőtt (2011. május 16-án) találta meg. A ZDI 2011. augusztus 24-én adta át a hiba leírását a Microsoft-nak.

( elod v | 2012. 03. 16., p – 17:04 )

Majd' egy éven keresztül mi a csodát műveltek?!

A ZDI úgy működik, hogy van egy programja, amelynek keretében privátban felvásárolja a hibaleírásokat a felfedezőktől. Ezt azért teszi, mert van neki egy TippingPoint nevű IPS/IDS/izébigyó terméke (régen a 3Com-é volt, de miután a HP megvette a 3Com-ot, most a HP-é) és a felvásárolt leírások, PoC exploitok alapján ún. "digitális vakcinát" állít elő ezekhez az 0day sebezhetőségekhez. Ezeket a vakcinákat letolja az ügyfeleinél levő TippingPoint dobozokba, amelyek képesek felismerni a hálózati forgalomban az 0day támadásokat és képesek azokat blokkolni. Így az ügyfelei már azelőtt védettek (elvileg) ezekkel a támadásokkal szemben, hogy az érintett szoftver gyártója javítaná a hibát.

Auriemma-tól is megvásárolta a sebezhetőséget a ZDI, majd értesítette a gyártót. A ZDI a saját közlési policy-je szerint 6 hónapot ad a gyártónak arra, hogy az előálljon a javítással. Ha a gyártó nem javít 6 hónap alatt, akkor a ZDI egy korlátozott figyelmeztetőt publikál a sebezhetőségről.

Úgy fest, hogy a Microsoft ki is használta a hat hónapot az utolsó percig. Szóval az az egy év az hat hónap, mert a ZDI tavaly augusztus 24-én értesítette az MS-t.

--
trey @ gépház

Ezek szerint ha mondjuk en rossz vagyok, es elofizetek erre a szolgaltatasra, akkor kapok valami kutyut, amit idonkent frissitenek. Ha en vissza tudom fejteni, hogy mi a frissites lenyege (mi az a gonoszsag, amit felismer), akkor elvileg lehetosegem van arra, hogy kb. fel evvel a javitas elott megtudjak egy-egy sebezhetoseget. Persze nyilvan nehezebb egy ilyesmibol rajonni a konkret hibara, mint egy PoC vagy egy patch alapjan, de ha eleg sokan vagyok, es eleg ferde a szemem, akkor valoszinuleg vissza tudom fejteni ebbol is. Fel ev alatt siman megtehetem.
Ez igy tenyleg mukodik? Vagy hol a hiba a gondolatmenetemben?

--
R2D2 a filmtörténet legmocskosabb szájú karaktere.
Minden szavát kisípolták.

( uid_18247 | 2012. 03. 16., p – 18:53 )

sokféleképpen megfogalmaztam a kommentemet, itt a végső verzió:

:D

( wyx v | 2012. 03. 16., p – 20:45 )

Még azt is el tudom képzeni, hogy direkt hiba a cuccban, Irán ellen :))

( Hunger | 2012. 03. 17., szo – 01:50 )

Ha kiderülne, hogy az infó onnan szivárgott ki, az kellemetlenül érintené a Microsoft programját.

Eléggé valószínű, hogy a MAPP egyik tagjától szivárgott ki a PoC. A különböző Beijing cégektől a Jiangminen át a Sangforig van egy rakás kínai partner, amelyek nem biztos, hogy magukban tudták tartani az infót.

( Dwokfur v | 2012. 03. 17., szo – 12:29 )

Vajh a prog.hu mit ír erről...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( Proci85 v | 2012. 03. 17., szo – 16:51 )

Óvatosan a frissítéssel.
VPS-eken ennek hiányából vagy épp a frissítések miatt kék halált kapnak a windows rendszerek. Több szolgáltatónál is.
Ha nem használod a távoli asztalt, sőt le is tíltod és webadminon keresztül piszkálod a windowst, semmi baja.
Amint belépsz távolival, kék halál, újraindulás.
Nagy taps az MS-nek.

Nem tudom ki frissített és ki nem, de globális jelenség, hogy bizonyos windowsok nem képesek talpon maradni, ha becsatlakoznak távoli asztallal. Épp most is jött egy visszajelzés az egyik ügyféltől, hogyha nem távoli asztalról lépnek be, akkor stabilan üzemel (kb 5 ilyen visszajelzés jött már)
Nem tudom, hogy kinél fut az auto update, na meg az MS mennyire sunyi módon telepíti fel a kötelező javításokat (azt hiszem volt rá példa kikapcsolt update mellett is).
Érintve van xp, win2003, win2008 is.