image

RDP-tool laat Windows-computers crashen

dinsdag 27 maart 2012, 09:11 door Redactie, 13 reacties

Er is een programma verschenen dat het recente Remote Deskop-lek in Windows misbruikt om computers te laten crashen. Het door 'Mark DePalma' ontwikkelde RDPKill is gemaakt om de RDP service van Windows-computers uit te schakelen. Het stuurt hiervoor een speciaal pakketje naar machines waar Remote Desktop staat ingeschakeld. Standaard is dit niet het geval. Microsoft publiceerde onlangs beveiligingsupdate MS12-020. Deze patch verhelpt een kwetsbaarheid waardoor een aanvaller op afstand machines met Remote Desktop kan overnemen, zonder dat hiervoor authenticatie is vereist.

Exploit
Een aantal dagen na het verschijnen van de beveiligingsupdate verscheen er een proof-of-concept exploit, die computers met Remote Desktop laat crashen. De RDPKill-tool gebruikt deze exploit en zorgt ervoor dat zowel op Windows XP als Windows 7-computers er een blauw scherm verschijnt.

"Een ongepatchte server zou een eenvoudig doelwit van een DoS-aanval zijn door aanvallers die met deze tool experimenteren", aldus het Finse F-Secure. De virusscanner van het anti-virusbedrijf detecteert het programma als Hack-Tool:W32/RDPKill.A.

Reacties (13)
27-03-2012, 09:39 door [Account Verwijderd]
[Verwijderd]
27-03-2012, 09:45 door 0101
Hier is een filmpje van de maker van de tool: http://youtu.be/DjKFP9KEeUA
27-03-2012, 09:46 door RBI_
Nog steeds geen RCE (die publiek is iig).
27-03-2012, 09:53 door RickDeckardt
kwestie van tijd, ik schat een maandje
27-03-2012, 10:33 door Anoniem
Ik snap de ophef allemaal niet. Als je de aanbeveling van Microsoft overneemt, en NLA aanzet, is het hele probleem al verholpen!
27-03-2012, 10:36 door vtvt
Download links zijn ook al beschikbaar: http://pastehtml.com/view/bsqa5wtyu.html
27-03-2012, 11:38 door eXpL0iT.be
Dit is al een poosje uit... Kunnen de skiddies lulz trappen *sigh*
Publieke RCE... dat is niet voor meteen. Er valt teveel geld mee te verdienen, vraag het maar na bij VUPEN, thegrugq, crypt0ad...
27-03-2012, 14:31 door regenpijp
patchen en mocht je toch een BSOD krijgen: rebooten en dan alsnog patchen, opgelost :)
27-03-2012, 18:05 door Anoniem
Zal je zien dat straks essentiële instanties nog steeds niet patchen of dat ze niet ineens controleren of de patch wel goed is uitgevoerd..vertrouwend op het patch mechanisme van MS.
28-03-2012, 17:26 door Anoniem
Ga kijken naar de YouTube-video, is er een nieuwe versie die niet meer wordt gedetecteerd.
28-03-2012, 17:27 door Anoniem
Ga kijken naar de YouTube-video, is er een nieuwe versie die niet meer wordt gedetecteerd.
28-03-2012, 18:09 door eXpL0iT.be
@Anoniem 28/03/12 - 17:26
Upload die nieuwe versie naar VirusTotal en morgen is die heus niet meer FUD.
Bij deze: http://is.gd/LUjWJd :)

Nmap heeft intussen een script uit, voortaan kan je scannen zonder de machines te laten BSoD'en.
http://seclists.org/nmap-dev/2012/q1/att-662/rdp-ms12-020.nse
Deze library heb je nodig om de script te kunnen draaien:
http://nmap.org/svn/nselib/vulns.lua
Cmd is: nmap --script rdp-ms12-020 -p3389 192.168.0.0/24
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.