:

Szerző: Gálffy Csaba

2012. március 20. 13:53

Kiszivárgott kóddal támadják a Windows Remote Desktopot

A Microsoft beismerte, hogy saját biztonsági partnerhálózatuk, a MAPP egyik tagja szivárogtatta ki a súlyos biztonsági hibát kihasználó kódot. A frissítés múlt hét óta letölthető, a telepítést sürgeti a szoftvercég.

A Microsoft saját biztonsági műhelyéből származik az a kód, amellyel kiaknázható a Windowsok  rendkívül fontos (MS12-020) biztonsági rése. A Remote Desktop szolgáltatásban található rést a márciusi menetrendszerű patch kedd keretében foltozta már a Microsoft, a kiszolgálókon üzemelő Windows Server frissítési ciklusa azonban hagyományosan hosszabb, a szoftvercég ezért arra kéri az üzemeltetőket, hogy a frissítést minél hamarabb telepítsék rendszereikre. Emellett szól az is, hogy ismert problémák a telepítéssel kapcsolatban nincsenek, egyelőre egyedül a javítás Windows 7-ről való eltávolítás eredményez hibás működést.

A hiba kiaknázására írt PoC (proof of concept) kódrészlet valóban kiszivárgott - ismerte be a Microsoft Security Response Center posztjában a szoftvercég. A kódot a Microsoft juttatta el a MAPP (Microsoft Active Protections Program) résztvevő partnereinek tanulmányozásra, valamelyiküktől azonban kiszivárgott és néhány nap alatt vadon élő támadó kód is született belőle. A kód eredetileg kínai hackerfórumokon került nyilvánosságra, a szakértők gyanúja szerint a MAPP valamely gyengébb reputációval rendelkező kínai partnercégétől. A kiszivárgás után a Microsoft feltehetően felülvizsgálja majd a MAPP-tagsághoz szükséges feltételeket, és szűrni fogja majd a különösen kritikus támadó kódokhoz hozzáférő partnereket.

A támadó csomagokat eredetileg létrehozó Luigi Auriemma később bejelentette, hogy a kikerült kód az ő munkájára épül - a támadást 2011 májusában juttatta el a Zero Day Initiative-nek. A biztonsági hálózat fizet a beküldött, friss biztonsági résekért, amelyet a rendszert üzemeltető HP a TippingPoint nevű behatolásérzékelő megoldásaiban használ fel, illetve továbbít az érintett szoftvergyártóknak. A Zero Day Initiative Twitteren már bejelentette, hogy már tudomása van a kiszivárogtató kilétéről, és az nem a ZDI partnerei közé tartozik.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Az MS12-020 kódú javítás két fontos sérülékenységet javít a Remote Desktop Protocolban. A súlyosabbik távoli kódfuttatást tesz lehetővé, ehhez a támadónak speciálisan kialakított RDP-csomagokkal kell bombáznia a célgépet. A másik sérülékenység szolgáltatásmegtagadásos támadást tesz lehetővé. Ugyan a Remote Desktop szolgáltatás alapértelmezetten ki van kapcsolva a Microsoft operációs rendszereiben, vállalati környezetben általános a szolgáltatás használata, ennek megfelelően a javítás kritikus besorolást kapott az összes támogatott Windows rendszeren.

A HUP fórumán egyes rendszergazdák arról számoltak be, hogy a telepítés után egyes kiszolgálókon leállt az RDP szolgáltatás, mások azonban nem tapasztaltak problémákat. A visszajelzések alapján azonban az is elképzelhető, hogy a frissítés hiánya súlyosabb probléma, a web felé néző szervereket már rendszeres időközönként támadják, a foltozatlan RDP bekapcsolása nyomán pedig hamarosan indul egy szolgáltatásmegtagadásos támadás.

a címlapról