Exploit van rdp-lek in Windows verschijnt als proof-of-concept

Er is een proof-of-concept verschenen voor een exploit dat misbruik maakt van het kritieke rdp-lek, waarvoor Microsoft dinsdag een patch uitbracht. De code blijkt oud en lijkt te zijn uitgelekt via Microsofts eigen Active Protections Program.

De proof-of-concept is verschenen op een blog van Baidu. De code kan worden gebruikt om een exploit voor het dinsdag bekendgemaakte rdp-lek in Windows te maken. De verwachting van onder andere Microsoft zelf was al dat er snel exploits zouden komen, maar desondanks komt de publicatie erg snel. Het blijkt dan ook te gaan om bestaande code. "Het datapakket in de 'Chinese' rdpclient.exe is identiek aan wat ik aan het Zero Day Initiative gaf! Wie heeft er gelekt?", vraagt Luigi Auriemma zich af. Hij is beveiligingsonderzoeker en wordt genoemd als ontdekker van het lek. Hij zou het vorig jaar augustus bij ZDI en Microsoft hebben aangemeld.

Het vermoeden bestaat dat de code is uitgelekt via het Microsoft Active Protections Program of MAPP. Dit is een dienst van Microsoft die details over kwetsbaarheden en malware 24 uur voor het verschijnen van een patch beschikbaar stelt aan antivirus- en andere bedrijven. De bedrijven hebben dan de tijd om de problemen te reproduceren, aanvullende informatie te vergaren en hun eigen virusdefinities bij te werken. Microsoft claimt strikte richtlijnen te hanteren om het uitlekken van gegevens tegen te gaan, maar onbevoegden hebben desondanks toegang gekregen tot het MAPP, claimt ZDNet.

IT-banen

Reacties (22)

Petervanakelyen 16 maart 2012 16:44

Ik heb net even het proof-of-concept getest en de Win2k3 server in kwestie crasht met een blue screen en reboot (afhankelijk van je settings).

Het aantal servers dat hiermee gevaar loopt is enorm. Het proof-of-concept zorgt enkel voor een denial of service, maar remote code execution is ook gewoon mogelijk. Alle versies van Windows XP tot Win2k8 R2 zonder MS12-020 patch zijn vatbaar.

[Reactie gewijzigd door Petervanakelyen op 22 juli 2024 14:58]

lesderid @Petervanakelyen • 16 maart 2012 17:38

Inderdaad, maar het is wel MS12-020, MS12-010 is namelijk een IE bug.

Petervanakelyen @lesderid • 18 maart 2012 16:24

Je hebt gelijk, aangepast!

kimborntobewild @Petervanakelyen • 18 maart 2012 16:18

Het aantal servers dat hiermee gevaar loopt is enorm.

Terug naar Novell.

lesderid 16 maart 2012 17:05

De eerste echte PoC, rdpclient.exe, een kleine client voor RDP met hardcoded pakketten, verscheen ergens op een Chinees board en is/was hier verkrijgbaar: http://115.com/file/be27pff7.

Ikzelf heb de PoC meteen toen ik hem gevonden had, lokaal getest op een gepatchte en een niet-gepatchte Windows 7 x64 (Ultimate).
De gepatchte install deed niets (na 1000 attempts), de niet-gepatchte install crashte na ~3 attempts (2 is het theoretische minimum).

Hierna zijn deze pakketten onderzocht en zijn er (door onder andere 'jduck') Ruby en Python versies gemaakt.

Meer informatie over de bug en exploit kun je hier vinden: j.mp/z4MUnn.
Maar als je echt up-to-date wilt blijven, join dan #ms12-020 op het freenode IRC netwerk.

[Reactie gewijzigd door lesderid op 22 juli 2024 14:58]

dieselb0y 16 maart 2012 16:42

Nu vraag ik mij af, hoeveel computers kan je nu exploiteren met een exploit die nog niet gepatched is? Hoe snel breidt zo'n botnet zich nu precies uit? Want als een firewall de enige bescherming is hiertegen dan moet dat toch razendsnel gaan..

SED @dieselb0y • 16 maart 2012 17:09

Fix
======

http://technet.microsoft....ecurity/bulletin/ms12-020

zvbhvb @dieselb0y • 16 maart 2012 17:10

Een firewall hoeft niet altijd bescherming te bieden. The exploit can ook een reverse shell openen over dns,http,etc.Er wordt verbinding tot stand gebracht met een rogue server naar believen ipv dat er direct met de overgenomen PC verbinding wordt gezocht.

Ook kan er commandos opgehaald worden via e-mail zodat er eigenlijk geen verbinding meer nodig is.

OverSoft @zvbhvb • 16 maart 2012 18:34

In dit geval gaat dat niet op, want de eerste penetratie zal altijd via de RDP poort moeten lopen. Als de worm/malware/virus eenmaal binnen is, zal het inderdaad niet meer afdoende zijn om je RDP poort af te schermen.

PC's die bijvoorbeeld achter een router staan en waarvan de RDP poort niet direct via portforwarding is ingesteld, zullen hierdoor niet te besmetten/hacken zijn. (IIG niet via deze exploit)

SinergyX

Microsoft

16 maart 2012 16:45

Toch apart, dus of de antivirus bedrijven hebben dit gelekt, of de MAPP was 'lek'?

Maar dit is nu toch deels al gepatched? Bij gros van consumenten staat het gewoon uit, bij bedrijven mag je aannemen dat ze redelijk uptodate zijn met de veiligheid.

Sentry23 @SinergyX • 16 maart 2012 16:55

Binnen bedrijven is het helaas niet gebruikelijk dat er binnen een week gepatched wordt.
Veel bedrijven kijken even de kat uit de boom of mogen zelfs van leveranciers pas patches installeren als die approved zijn (in verband met support).

Gelukkig heb ik daar geen last van (we patchen erg snel, en nemen evt issues voor lief), maar dat is meer uitzondering dan regel.

To_Tall

@Sentry23 • 16 maart 2012 17:19

Dat kan, en is idd gebruikelijk. Maar echte Kritical patches zoals deze laat ik niet zomaar voorbij gaan.

PoC is uit en dus voor elke willekeurige hakker, cq gebruiker te misbruiken. Kortom, risico tegen misbruik is pacten. Doe je dit niet dan is dit je eigen verantwoordelijkheid. Ik wil zo'n verantwoordelijkheid niet hebben. Een gebruiker kan simple een exe bestand van het internet downloaden, of idd een mail met scripts binnen krijgen en een deel van je gebruikers of servers gaan neer!!

in 2008 is er in augustus een zeer critica patch geweest. Dinsdag kwam deze uit. Als de wiedeweer in de test omgeving getest. Kijken met de PoC die verkrijgbaar was in een geïsoleerde omgeving de server down te krijgen. De patch werkte. De hedenavond overgewerkt om ruim 300 servers te voorzien van de patch. Patch ook in wsus klaargezet voor de clients.. Zo wij zijn weer wat veiliger!!

L0g0ff

@To_Tall • 17 maart 2012 00:01

300 servers gepatched? Het is natuurlijk wel goed dat je patched maar belangrijk is vooral (in dit geval) dat je de servers patched die rechtstreeks aan het internet hangen.

Wanneer dat er bij jou 300 zijn dan wordt het eens tijd om iets aan vpn beveiliging te gaan doen denk ik ;-)

3389 (of rdp op een andere poort) open aan het internet vind ik persoonlijk een sys/network admin faal, je vraagt er dan een beetje om dat mensen je komen pakken. Niet doen dus.

Koffie @L0g0ff • 17 maart 2012 08:53

Niet echt slim dat jij 1 server (die aan internet hangt) patched en de overige 300 niet.

Wat ga je doen als er intern iemand een virus heeft die deze exploit gebruikt?
Er hoeft maar 1 besmette laptop in je LAN te komen om die 300 servers alsnog op de knieën te krijgen.

mae-t.net @Sentry23 • 17 maart 2012 19:04

Ook als het niet gebruikelijk is om snel te patchen (bij onze klanten hebben we de patch wel direct uitgerold omdat ze nogal op rdp vertrouwen voor hun werk)...

Dan mag je hopen dat het bedrijfsnetwerk een beetje slim is opgezet. Zo'n poort gooi je niet open vanaf internet. Daar hoort een tunnel, VPN, of soortgelijke constructie tussen. De enige kwetsbaarheid is dan eventueel nog vanaf het lan en afhankelijk van de beveiliging en toegangspolicy daarvan is het alsnog nuttig om gelijk te patchen al is de kans dat je het virus op die manier binnenkrijgt wel vele malen kleiner.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 14:58]

Petervanakelyen @SinergyX • 16 maart 2012 16:55

Ik ken zat bedrijven die patches niet binnen de 5 dagen uitrollen.

woutertje 16 maart 2012 21:23

Aan de ene kant een interessant bericht maar aan de andere kant was mijn windows 7 desktop al automatisch gepatched voordat het originele bericht hier op tweakers stond.

Mensen die hier reageren waarom Microsoft niet sneller gereageerd heeft hebben naar mijn idee geen flauw benul van de complexiteit van een product als Windows. M.a.w. jouw werkgever met softwarepakket xyz is hiermee kwa bugfix proces in geen enkel opzicht vergelijkbaar.

the_stickie @woutertje • 16 maart 2012 22:16

Bij thuisgebruikers vormt dit zelden een probleem omdat rdp by default uit staat.
In bedrijfsomgevingen wordt rdp nogal vaak gebruikt, en juist daar wordt er meestal ook (even) gewacht met de uitrol van paches...

Verwijderd 16 maart 2012 16:44

Een beveiligings informatie programma als MAPP waarbij tientallen of zelfs honderden mensen geinformeerd worden is nooit echt 100% secure te krijgen.
Daarom kun je de informatie ook nauwelijk eerder ter beschikking stellen aan een dergelijke groep want dan ligt het voor je het weet al ruim voor je patchdag op straat.

Overigens zie ik bijvoorbeeld de Chinese overheid er ook nog wel voor aan om een medewerker in Microsoft of in het Zero day Initiative te infiltreren of om te kopen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:58]

Mikayu 16 maart 2012 16:56

Wat deed die code dan al op het MAPP als deze pas 24 uur van te voren word vrijgegeven?
Hoe heeft ZDI deze data ontvangen.. email? usb stick met cijferslot? Kan altijd onderschept zijn geweest.
Wie weet is Luigi Auriemma zelf wel gehacked en is een kopie van de code gestolen.

Misschien was er niks aan de hand geweest als er geen nieuws over dit lek was 'gelekt'

Z-Dragon 16 maart 2012 21:18

In augustus gemeld en nu pas een patch?

Op dit item kan niet meer gereageerd worden.

Exploit van rdp-lek in Windows verschijnt als proof-of-concept

Lees meer

IT-banen

Reacties (22)

Sorteer op:

Weergave: