Прошло чуть больше суток с момента публикации бюллетеня по безопасности MS12-020 и выпуска патча, которым Microsoft закрывает опасную уязвимость в RDP. Сразу после этого специалисты Microsoft предупредили, что уязвимость в Remote Desktop Protocol является весьма соблазнительной для хакеров, ведь можно без труда просканировать диапазон IP-адресов и обнаружить системы с включенным RDP, после чего осуществить массовое заражение компьютеров, если они не установили последний патч. Microsoft ожидает появления эксплойта для RDP в течение 30 дней.
Вот инструкция, как просканировать диапазон IP-адресов на предмет служб RDP, которые по умолчанию работают на порту TCP 3389. В данном случае используется с программа NMAP.
mjc@msfdev:~$ nmap 192.168.1.0/24 -p 3389
Starting Nmap 5.21 ( http://nmap.org ) at 2012-03-13 17:07 CDT
Nmap scan report for 192.168.1.1
Host is up (0.0065s latency).
PORT STATE SERVICE
3389/tcp closed ms-term-serv
<SNIP>
Nmap done: 256 IP addresses (10 hosts up) scanned in 10.75 seconds
mjc@msfdev:~$
Хакеры не заставили себя долго ждать и сразу приступили к работе. Брайан Кребс сообщает, что на сайте для разработчиков Gun.io уже появился новый заказ на разработку такого эксплойта, автор которого может претендовать на награду $1451. Награда не такая и большая, зато это чистые деньги, заработанные легальным способом. Вдобавок, награда постепенно растёт, так как проект Gun.io работает по методу народного финансирования, то есть выделить пару долларов в призовой фонд может любой желающий (такая же схема действует в известном инкубаторе стартапов Kickstarter).
В условиях задания указано, что требуется создание модуля для Metasploit. В качестве доказательства достаточно показать видеодемонстрацию.
Заказ разместил основатель проекта, 23-летний житель Бостона Рич Джонс (Rich Jones), довольно авторитетный разработчик. Он известен также как автор P2P-проекта Anomos, анонимного варианта протокола BitTorrent, а также как основатель проекта OpenWatch Project по наблюдению превышением власти со стороны полиции и других силовых структур.
Так что вряд ли Джонс лично собирается использовать эксплойт со злым умыслом. Но модуль для Metasplot выйдет в любом случае, а уже его может применить кто угодно. Кстати, по словам Джонса, основную часть призового фонда для RDP пожертвовал известный хакер HD Moore, он же автор программы Metasplot.