02.12.2022

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Появился рабочий эксплойт и описание уязвимости в RDP

 

Как и предполагала компания Microsoft, хакерам не потребовалось много времени для написания эксплойта к уязвимости в Remote Desktop Protocol (RDP), информация о которой была обнародована в прошлый вторник одновременно с выпуском патча. Подробное описание уязвимости опубликовал в своём блоге итальянский специалист по безопасности Луиджи Аурииемма (Luigi Auriemma). Также был выложен неоптимизированный код эксплойта.

Специалист по безопасности не собирался публиковать потенциально вредоносный код, а ещё в мае 2011 года отправил его в Microsoft по программе Zero Day Initiative. Однако, в пятницу произошла утечка, и другой эксплойт для RDP появился в открытом доступе на китайском файлохостинге. По мнению самого Луиджи, утечка произошла со стороны Microsoft — исполняемый файл был скомпилирован в ноябре прошлого года на базе его собственного эксплойта и, очевидно, использовался для внутреннего тестирования, а потом был отправлен партнёрам Microsoft, участвующим в программе Microsoft Active Protections Program (MAPP).

В коде эксплойта содержатся некоторые дебаггерские строки вроде MSRC11678, что явно указывает на Microsoft Security Response Center (MSRC). Кроме того, эксплойт отправляет уникальный пакет на сервер Zero Day Initiative, такой же, какой был в оригинальной версии эксплойта, сделанного Луиджи.

Уязвимости в RDP подвержены все версии Windows, но только в том случае, если в системе активирован протокол RDP. Известный исследователь Дэн Камински просканировал около 300 млн IP-адресов (8,3% интернета) — и обнаружил 415 тысяч машин с включённым RDP на стандартном порту 3389. Общее количество потенциальных жертв эксплойта RDP можно оценить примерно в 5 миллионов. В первую очередь, это серверы и корпоративные пользователи.{jcomments on}