Как и предполагала компания Microsoft, хакерам не потребовалось много времени для написания эксплойта к уязвимости в Remote Desktop Protocol (RDP), информация о которой была обнародована в прошлый вторник одновременно с выпуском патча.

Подробное описание уязвимости опубликовал в своём блоге итальянский специалист по безопасности Луиджи Аурииемма (Luigi Auriemma).

termdd_1.dat, неоптимизированный код эксплойта
nc SERVER 3389 < termdd_1.dat

Разумеется, специалист по безопасности не собирался публиковать потенциально вредоносный код, а ещё в мае 2011 года отправил его в Microsoft по программе Zero Day Initiative. Однако, в пятницу произошла утечка, и другой эксплойт для RDP появился в открытом доступе на китайском файлохостинге. По мнению самого Луиджи, утечка произошла со стороны Microsoft — исполняемый файл был скомпилирован в ноябре прошлого года на базе его собственного эксплойта и, очевидно, использовался для внутреннего тестирования, а потом был отправлен партнёрам Microsoft, участвующим в программе Microsoft Active Protections Program (MAPP). Наверное, кто-то из партнёров оказался не вполне надёжным. В коде эксплойта содержатся некоторые дебаггерские строки вроде MSRC11678, что явно указывает на Microsoft Security Response Center (MSRC). Кроме того, эксплойт отправляет уникальный пакет на сервер Zero Day Initiative, такой же, какой был в оригинальной версии эксплойта, сделанного Луиджи.

Таким образом, после утечки совесть Луиджи Аурииемма была чиста и он чувствовал себя вполне вправе официально разгласить информацию об уязвимости.

Уязвимости в RDP подвержены все версии Windows, но только в том случае, если в системе активирован протокол RDP. То есть можно не опасаться широкомасштабной эпидемии в рамках всего интернета, хотя масштабы угрозы всё равно внушительны. Известный исследователь Дэн Камински просканировал около 300 млн IP-адресов (8,3% интернета) — и обнаружил 415 тысяч машин с включённым RDP на стандартном порту 3389. Общее количество потенциальных жертв эксплойта RDP можно оценить примерно в пять миллионов. В первую очередь, это серверы и корпоративные пользователи.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии