Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties

Er is een proof-of-concept verschenen voor een exploit dat misbruik maakt van het kritieke rdp-lek, waarvoor Microsoft dinsdag een patch uitbracht. De code blijkt oud en lijkt te zijn uitgelekt via Microsofts eigen Active Protections Program.

De proof-of-concept is verschenen op een blog van Baidu. De code kan worden gebruikt om een exploit voor het dinsdag bekendgemaakte rdp-lek in Windows te maken. De verwachting van onder andere Microsoft zelf was al dat er snel exploits zouden komen, maar desondanks komt de publicatie erg snel. Het blijkt dan ook te gaan om bestaande code. "Het datapakket in de 'Chinese' rdpclient.exe is identiek aan wat ik aan het Zero Day Initiative gaf! Wie heeft er gelekt?", vraagt Luigi Auriemma zich af. Hij is beveiligingsonderzoeker en wordt genoemd als ontdekker van het lek. Hij zou het vorig jaar augustus bij ZDI en Microsoft hebben aangemeld.

Het vermoeden bestaat dat de code is uitgelekt via het Microsoft Active Protections Program of MAPP. Dit is een dienst van Microsoft die details over kwetsbaarheden en malware 24 uur voor het verschijnen van een patch beschikbaar stelt aan antivirus- en andere bedrijven. De bedrijven hebben dan de tijd om de problemen te reproduceren, aanvullende informatie te vergaren en hun eigen virusdefinities bij te werken. Microsoft claimt strikte richtlijnen te hanteren om het uitlekken van gegevens tegen te gaan, maar onbevoegden hebben desondanks toegang gekregen tot het MAPP, claimt ZDNet.

Moderatie-faq Wijzig weergave

Reacties (22)

Ik heb net even het proof-of-concept getest en de Win2k3 server in kwestie crasht met een blue screen en reboot (afhankelijk van je settings).

Het aantal servers dat hiermee gevaar loopt is enorm. Het proof-of-concept zorgt enkel voor een denial of service, maar remote code execution is ook gewoon mogelijk. Alle versies van Windows XP tot Win2k8 R2 zonder MS12-020 patch zijn vatbaar.

[Reactie gewijzigd door Petervanakelyen op 18 maart 2012 16:24]

Inderdaad, maar het is wel MS12-020, MS12-010 is namelijk een IE bug.
Je hebt gelijk, aangepast! :)
Het aantal servers dat hiermee gevaar loopt is enorm.
Terug naar Novell.
De eerste echte PoC, rdpclient.exe, een kleine client voor RDP met hardcoded pakketten, verscheen ergens op een Chinees board en is/was hier verkrijgbaar: http://115.com/file/be27pff7.

Ikzelf heb de PoC meteen toen ik hem gevonden had, lokaal getest op een gepatchte en een niet-gepatchte Windows 7 x64 (Ultimate).
De gepatchte install deed niets (na 1000 attempts), de niet-gepatchte install crashte na ~3 attempts (2 is het theoretische minimum).

Hierna zijn deze pakketten onderzocht en zijn er (door onder andere 'jduck') Ruby en Python versies gemaakt.

Meer informatie over de bug en exploit kun je hier vinden: j.mp/z4MUnn.
Maar als je echt up-to-date wilt blijven, join dan #ms12-020 op het freenode IRC netwerk.

[Reactie gewijzigd door lesderid op 16 maart 2012 17:19]

Nu vraag ik mij af, hoeveel computers kan je nu exploiteren met een exploit die nog niet gepatched is? Hoe snel breidt zo'n botnet zich nu precies uit? Want als een firewall de enige bescherming is hiertegen dan moet dat toch razendsnel gaan..
Een firewall hoeft niet altijd bescherming te bieden. The exploit can ook een reverse shell openen over dns,http,etc.Er wordt verbinding tot stand gebracht met een rogue server naar believen ipv dat er direct met de overgenomen PC verbinding wordt gezocht.

Ook kan er commandos opgehaald worden via e-mail zodat er eigenlijk geen verbinding meer nodig is.
In dit geval gaat dat niet op, want de eerste penetratie zal altijd via de RDP poort moeten lopen. Als de worm/malware/virus eenmaal binnen is, zal het inderdaad niet meer afdoende zijn om je RDP poort af te schermen.

PC's die bijvoorbeeld achter een router staan en waarvan de RDP poort niet direct via portforwarding is ingesteld, zullen hierdoor niet te besmetten/hacken zijn. (IIG niet via deze exploit)
Toch apart, dus of de antivirus bedrijven hebben dit gelekt, of de MAPP was 'lek'?

Maar dit is nu toch deels al gepatched? Bij gros van consumenten staat het gewoon uit, bij bedrijven mag je aannemen dat ze redelijk uptodate zijn met de veiligheid.
Binnen bedrijven is het helaas niet gebruikelijk dat er binnen een week gepatched wordt.
Veel bedrijven kijken even de kat uit de boom of mogen zelfs van leveranciers pas patches installeren als die approved zijn (in verband met support).

Gelukkig heb ik daar geen last van (we patchen erg snel, en nemen evt issues voor lief), maar dat is meer uitzondering dan regel.
Dat kan, en is idd gebruikelijk. Maar echte Kritical patches zoals deze laat ik niet zomaar voorbij gaan.

PoC is uit en dus voor elke willekeurige hakker, cq gebruiker te misbruiken. Kortom, risico tegen misbruik is pacten. Doe je dit niet dan is dit je eigen verantwoordelijkheid. Ik wil zo'n verantwoordelijkheid niet hebben. Een gebruiker kan simple een exe bestand van het internet downloaden, of idd een mail met scripts binnen krijgen en een deel van je gebruikers of servers gaan neer!!

in 2008 is er in augustus een zeer critica patch geweest. Dinsdag kwam deze uit. Als de wiedeweer in de test omgeving getest. Kijken met de PoC die verkrijgbaar was in een geÔsoleerde omgeving de server down te krijgen. De patch werkte. De hedenavond overgewerkt om ruim 300 servers te voorzien van de patch. Patch ook in wsus klaargezet voor de clients.. Zo wij zijn weer wat veiliger!!
300 servers gepatched? Het is natuurlijk wel goed dat je patched maar belangrijk is vooral (in dit geval) dat je de servers patched die rechtstreeks aan het internet hangen.

Wanneer dat er bij jou 300 zijn dan wordt het eens tijd om iets aan vpn beveiliging te gaan doen denk ik ;-)

3389 (of rdp op een andere poort) open aan het internet vind ik persoonlijk een sys/network admin faal, je vraagt er dan een beetje om dat mensen je komen pakken. Niet doen dus.
Niet echt slim dat jij 1 server (die aan internet hangt) patched en de overige 300 niet.

Wat ga je doen als er intern iemand een virus heeft die deze exploit gebruikt?
Er hoeft maar 1 besmette laptop in je LAN te komen om die 300 servers alsnog op de knieŽn te krijgen.
Ook als het niet gebruikelijk is om snel te patchen (bij onze klanten hebben we de patch wel direct uitgerold omdat ze nogal op rdp vertrouwen voor hun werk)...

Dan mag je hopen dat het bedrijfsnetwerk een beetje slim is opgezet. Zo'n poort gooi je niet open vanaf internet. Daar hoort een tunnel, VPN, of soortgelijke constructie tussen. De enige kwetsbaarheid is dan eventueel nog vanaf het lan en afhankelijk van de beveiliging en toegangspolicy daarvan is het alsnog nuttig om gelijk te patchen al is de kans dat je het virus op die manier binnenkrijgt wel vele malen kleiner.

[Reactie gewijzigd door mae-t.net op 17 maart 2012 19:06]

Ik ken zat bedrijven die patches niet binnen de 5 dagen uitrollen.
Aan de ene kant een interessant bericht maar aan de andere kant was mijn windows 7 desktop al automatisch gepatched voordat het originele bericht hier op tweakers stond.

Mensen die hier reageren waarom Microsoft niet sneller gereageerd heeft hebben naar mijn idee geen flauw benul van de complexiteit van een product als Windows. M.a.w. jouw werkgever met softwarepakket xyz is hiermee kwa bugfix proces in geen enkel opzicht vergelijkbaar.
Bij thuisgebruikers vormt dit zelden een probleem omdat rdp by default uit staat.
In bedrijfsomgevingen wordt rdp nogal vaak gebruikt, en juist daar wordt er meestal ook (even) gewacht met de uitrol van paches...
Een beveiligings informatie programma als MAPP waarbij tientallen of zelfs honderden mensen geinformeerd worden is nooit echt 100% secure te krijgen.
Daarom kun je de informatie ook nauwelijk eerder ter beschikking stellen aan een dergelijke groep want dan ligt het voor je het weet al ruim voor je patchdag op straat.

Overigens zie ik bijvoorbeeld de Chinese overheid er ook nog wel voor aan om een medewerker in Microsoft of in het Zero day Initiative te infiltreren of om te kopen.

[Reactie gewijzigd door 80466 op 16 maart 2012 16:44]

Wat deed die code dan al op het MAPP als deze pas 24 uur van te voren word vrijgegeven?
Hoe heeft ZDI deze data ontvangen.. email? usb stick met cijferslot? Kan altijd onderschept zijn geweest.
Wie weet is Luigi Auriemma zelf wel gehacked en is een kopie van de code gestolen.

Misschien was er niks aan de hand geweest als er geen nieuws over dit lek was 'gelekt'
In augustus gemeld en nu pas een patch? |:(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True