image

Hackers jagen op gevaarlijke Windows RDP-exploit *update*

vrijdag 16 maart 2012, 13:29 door Redactie, 5 reacties

Tientallen hackers hebben de uitdaging van Microsoft geaccepteerd en zijn begonnen met de ontwikkeling van een exploit voor het zeer ernstige lek in de Remote Desktop-functie van Windows. Dat lek werd afgelopen dinsdag gepatcht. Microsoft stelde dat aanvallers het lek binnen 30 dagen zullen misbruiken, maar het verwacht niet dat er in de komende dagen al aanvalscode wordt ontwikkeld. Via de kwetsbaarheid is het mogelijk om op afstand en zonder enige authenticatie Windows-computers over te nemen die Remote Desktop hebben ingeschakeld.

Op het Freenode IRC-kanaal, #ms12-020, zijn inmiddels tientallen hackers bezig met de ontwikkeling van een exploit. Daarnaast zijn er ook op Pastebin.com exploits verschenen, maar dat blijken hoaxes te zijn.

Blauw scherm
Eerder waren er op verschillende Chinese fora exploits ontdekt, maar de werking daarvan was nog niet bevestigd. Onderzoekers van anti-virusbedrijf Sophos stellen nu dat één van de Chinese RDP-exploits werkt en de computer met een blauw scherm laat crashen.

"Het zou geen verrassing zijn als degene die deze code schrijft die verder ontwikkelt om een zich snel verspreidende internetworm te produceren", aldus consultant Graham Cluley. De proof-of-concept exploit is op deze pagina te vinden.

Update: mogelijk lek van exploitcode
Volgens beveiligingsonderzoeker Luigi Auriemma, die het lek in augustus vorig jaar aan het Zero Day Initiative (ZDI) rapporteerde, dat vervolgens Microsoft inlichtte, is de code op de Chinese website identiek aan wat hij naar ZDI stuurde. Dat zou betekenen dat de informatie door iemand gelekt is, zo liet de onderzoeker op Twitter weten.

Verder zou informatie op de Chinese website alleen toegankelijk zijn voor MAPP-leden. MAPP bestaat uit beveiligingsbedrijven die voordat Microsoft beveiligingsupdates uitbrengt over de gepatchte kwetsbaarheden worden ingelicht. Dat zou erop duiden dat er mogelijk bij één van de aangesloten beveiligingsbedrijven is gelekt.

Aangezien de exploit nu openbaar is, besloot ook Auriemma zijn originele advisory te openbaren.

Reacties (5)
16-03-2012, 14:07 door Anoniem
Ok. Microsoft heeft dit probleem afgelopen dinsdag verholpen. Wat - wanneer gaat Microsoft met deze problemen doen: http://www.security.nl/artikel/40746/1/Microsoft_krijgt_5_zero-day_lekken_in_Internet_Explorer_.html
16-03-2012, 15:25 door Anoniem
Waarschijnlijk duurt het ook 7 maanden voordat de IE lekken worden gepatched.
16-03-2012, 15:36 door Anoniem
Ik denk eerder dat er chinese hackers bezig geweest zijn om een mail server te kraken.
Ik zie op mijn e-mail server ook voornamelijk chinese hackers die wachtwoorden raden (heb inmiddels heel China geblokkeerd)
16-03-2012, 16:59 door User2048
ISC en Symantec hebben hun Threat Levels een niveau verhoogd vanwege deze dreiging. Eerlijk gezegd is dit voor het eerst in een jaar dat ik de ISC INFOCON niet op groen zie staan.

http://isc.sans.edu/
http://www.symantec.com/security_response/#
17-03-2012, 16:24 door Anoniem
Inmiddels vier RDP sploits in the 'wild'. Tussen aanhalingstekens want uiteraard niet voor iedereen beschikbaar. Waarvan overigens nog steeds één onontdekte bug, dus zeroday. ROFL. Komaan mensen, snel ff internetbankieren. wordt nog lache zo hahaha :P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.