На этой неделе редмодский гигант выпустил обновления для системы безопасности своей операционной системы, в том числе был исправлен дефект в протоколе удаленного рабочего стола (RDP). Спустя некоторое время в сети появился экспериментальный образец эксплойт-кода для него. Предполагается, что код оказался в Интернет в результате утечки, допущенной либо самой Microsoft, либо одним из партнеров компании. Итальянский исследователь в области безопасности, который сообщил о наличии данного дефекта производителю и создал экспериментальный образец кода, заявил о том, что при анализе обнаруженного в сети эксплойта заметил, что тот содержит часть написанного им кода. Он также предположил, что утечка могла произойти из Microsoft Active Protections Program (MAPP). Стоит отметить, что успешная атака может привести к сбою работы операционной системы. По его мнению, если утечка произошла по вине сотрудника компании, это одна сторона дела и виновный будет наказан. Однако же если это произошло по вине партнера, то масштаб события грандиозный. «Чего можно ожидать от Microsoft, если ее партнерам нельзя доверять?», - заявил он. Представитель софтверной компании директор Trustworthy Computing Group Янсан Ви подтвердил, что эксплойт тот же, что и образец, присланный итальянским специалистом. В данный момент проводится расследование и для выявления виновного анализируются журналы сервера. Однако компания делает все возможное, чтобы обеспечить надлежащий уровень безопасности для пользователей системы. Напомним, что система MAPP была создана Microsoft с целью улучшения качества выпускаемых продуктов. Доступ к ней имеют как исследователи в области безопасности, так и разработчики программного обеспечения. С ее помощью специалисты обмениваются последней информацией о наличии каких – либо изъянов, которые следует устранить. 17/03/2012 - 16:50 http://anti-malware.ru/news/2012-03-17/8674
Появился эксплойт и подробное описание уязвимости в RDP Как и предполагала компания Microsoft, хакерам не потребовалось много времени для написания эксплойта к уязвимости в Remote Desktop Protocol (RDP), информация о которой была обнародована в прошлый вторник одновременно с выпуском патча. Подробное описание уязвимости опубликовал в своём блоге итальянский специалист по безопасности Луиджи Аурииемма (Luigi Auriemma). termdd_1.dat, неоптимизированный код эксплойта nc SERVER 3389 < termdd_1.dat Разумеется, специалист по безопасности не собирался публиковать потенциально вредоносный код, а ещё в мае 2011 года отправил его в Microsoft по программе Zero Day Initiative. Однако, в пятницу произошла утечка, и другой эксплойт для RDP появился в открытом доступе на китайском файлохостинге. По мнению самого Луиджи, утечка произошла со стороны Microsoft — исполняемый файл был скомпилирован в ноябре прошлого года на базе его собственного эксплойта и, очевидно, использовался для внутреннего тестирования, а потом был отправлен партнёрам Microsoft, участвующим в программе Microsoft Active Protections Program (MAPP). Наверное, кто-то из партнёров оказался не вполне надёжным. В коде эксплойта содержатся некоторые дебаггерские строки вроде MSRC11678, что явно указывает на Microsoft Security Response Center (MSRC). Кроме того, эксплойт отправляет уникальный пакет на сервер Zero Day Initiative, такой же, какой был в оригинальной версии эксплойта, сделанного Луиджи. Таким образом, после утечки совесть Луиджи Аурииемма была чиста и он чувствовал себя вполне вправе официально разгласить информацию об уязвимости. Уязвимости в RDP подвержены все версии Windows, но только в том случае, если в системе активирован протокол RDP. То есть можно не опасаться широкомасштабной эпидемии в рамках всего интернета, хотя масштабы угрозы всё равно внушительны. Известный исследователь Дэн Камински просканировал около 300 млн IP-адресов (8,3% интернета) — и обнаружил 415 тысяч машин с включённым RDP на стандартном порту 3389. Общее количество потенциальных жертв эксплойта RDP можно оценить примерно в пять миллионов. В первую очередь, это серверы и корпоративные пользователи. Дата: 20.03.2012 http://www.xakep.ru/post/58442/