Kedd óta gyakorlatilag a teljes IT-biztonsági szakma az MS12-020-szal javított RDP sebezhetőség kihasználásán pörög. A Freenode-on külön IRC csatorna (#ms12-020) alakult a különböző eredmények megosztására, a gun.io-n pedig eddig több mint 1400 dollárnyi felajánlás gyűlt össze az első teljes értékű exploit publikálója számára.

A fejlesztés alapját elsősorban a javítás diffelése és egy kínai fájlmegosztóról származó PoC képzi. Utóbbi egy .exe-t és egy hálózati dumpot tartalmaz - mint kiderült, a futtatható állomány hálózati dump megegyezik azzal, amit Luigi Auriemma, a sebezhetőség felfedezője nagyjából fél éve elküldött a ZDI-nek. Felmerül a kérdés: honnan szerezték meg ezt az állományt a kínaiak? A legkézenfekvőbb megoldásnak a Microsoft Active Protections Programja látszik, melynek keretében a cég részletes információkkal - akár konkrét PoC kódokkal - látja el a nagyobb biztonsági termékek gyártóit. A nyilvános partnerek listáját böngészve több keleti gyártót is találunk, és néhány olyat is, akikre személy szerint a sörömet sem bíznám rá...

Idő közben Auriemma a teljes eredeti bejelentést publikálta. Eszerint egy use-after-free problémáról van szó, ami akkor keletkezik, mikor egy RDP kliens egy olyan ConnectMCSPDU csomagot küld a kiszolgálónak, melynek maxChannelIds paramétere kisebb 6-nál, majd bontja a kapcsolatot. Jelenleg több kékhalált produkáló PoC is kering az interneten számos hamis kód mellett, valamint gyakran felbukkan egy orosz fórum linkje is, ahol egy képernyőképpel igyekeznek alátámasztani, hogy már rendelkeznek a csodafegyverrel. Jelenleg úgy látom, hogy a kódfuttatásra alkalmas exploit napokon belül megjelenhet nyilvános fórumokon (is). A státusz egyébként az http://istherdpexploitoutyet.com/ oldalon is monitorozható :)

Nem lehet eléggé hangsúlyozni: frissítsétek az RDP-t futtató gépeket, munkaszüneti nap ide vagy oda! A támadások/hibás szerverek detektálására alkalmas szignatúrák megjelentek Snorthoz illetve Nessushoz is (meg a Tipping Point eszközeihez is nyilván).

A cikk frissül, ha érdemi változás történik.

Friss:

A Microsoft gyakorlatilag elismerte, hogy a MAPP-ból származik a kiszivárgott kód, nyomoznak az ügyben, és "meg fogják tenni a szükséges lépéseket" a kiszivárogtatóval szemben. Az Errata posztja ismét ajánlható a témában.

Friss márc.19:

Úgy tűnik, Kostya Kortchinsky képes kontrollálni az EAX regiszter tartalmát.