Nieuws
image

Microsoft ontkent meldingen van Windows RDP-exploit

vrijdag 16 maart 2012, 09:45 door Redactie, 7 reacties

Hackers hebben nog niet ontdekt hoe ze een zeer ernstig beveiligingslek in de Windows Remote Desktop-functie kunnen misbruiken, aldus Microsoft. De softwaregigant patchte dinsdag het lek in de functie, waardoor op afstand op computers is in te loggen. Via de kwetsbaarheid zou een aanvaller alleen maar een speciaal pakketje naar een Windows computer met Remote Desktop hoeven te sturen, om die vervolgens over te nemen.

Onderzoekers van Kaspersky Lab ontdekten op een Chinees forum iemand die beweert een proof-of-concept exploit voor MS12-020 te hebben ontwikkeld. Het nummer van het Security Bulletin waarmee Microsoft het lek heeft gepatcht. Er kon nog niet worden bevestigd of de exploit ook daadwerkelijk werkt.

Exploit
De Russische beveiligingsonderzoeker Valery Marchuk beweert dat hij op een andere Chinese website een werkende exploit heeft aangetroffen. Die website is echter niet meer online, maar Marchuk plaatste op zijn eigen site een screenshot van de exploit waarmee een Windows Server 2003 installatie wordt gehackt. Het is onduidelijk of het hier om dezelfde exploit van het Chinese forum gaat, of het een andere betreft en of de exploit ook daadwerkelijk werkt.

Microsoft, dat liet weten dat het niet verwacht dat hackers in de komende paar dagen een exploit zullen ontwikkelen, zegt dat er nog niets aan de hand is. "We hebben nog geen enkel bewijs gezien dat op publieke exploitcode duidt of actieve aanvallen voor het probleem dat door MS12-020 wordt opgelost", aldus Yunsun Wee, directeur Trustworthy Computing bij Microsoft.

Reacties (7)
16-03-2012, 10:31 door Anoniem
De exploit waarnaar wordt gelinked is fake. Ten eerste is er geen freerdp library, ten tweede is het emailadres in de exploit verdacht en ten derde is het een aangepaste versie van deze exploit:
http://svn.secmaniac.com/social_engineering_toolkit/src/fasttrack/exploits/ms08067.py

Er is op een andere chinese website wel een werkende poc gevonden. Interessant genoeg zit daarin een string met een MS case nummer, mogelijk code die is gedeeld als onderdeel van MAPP:
http://twitter.com/#!/jduck1337/status/180495975377408001

Bovendien bevat het exact de poc van Luigi:

ms12-020 mistery: the packet stored in the "chinese" rdpclient.exe PoC is the EXACT ONE I gave to ZDI!!! @thezdi? @microsoft? who leaked?

Intussen is er ook een advisory van Luigi:
http://aluigi.org/adv/termdd_1-adv.txt
16-03-2012, 10:39 door Anoniem

#############################################################################
# MS12-020 Exploit by Sabu
# sabu@fbi.gov
# Uses FreeRDP
#############################################################################

De auteur van de exploit heeft in ieder geval gevoel voor humor
16-03-2012, 10:39 door Anoniem
http://pastebin.com/fFWkezQH

http://pastebin.com/jZt9gmD5

http://pastebin.com/WYx9kRQ6

http://pastebin.com/jzQxvnpj
16-03-2012, 11:44 door Erwin_
Door Anoniem:

#############################################################################
# MS12-020 Exploit by Sabu
# sabu@fbi.gov
# Uses FreeRDP
#############################################################################

De auteur van de exploit heeft in ieder geval gevoel voor humor

code uit metasploit met een andere header, en dus oude exploit
16-03-2012, 12:38 door Anoniem
Oke, het is meer een proof of concept, maar ik heb dit gevonden:
http://aluigi.org/adv/termdd_1-adv.txt
16-03-2012, 13:55 door Anoniem
Uit die URL blijkt dat deze bug al op 16 mei 2011 aan Microsoft is gemeld (via ZDI). Heeft heeft ze dus 10 maanden gekost om dit gapende gat te fixen. Schokkend.
17-03-2012, 21:46 door spatieman
ja maar..
china hackt toch niet.
echt niet !!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search