Microsoft: уязвимость в RDP все должны запатчить немедленно Опции

[Decker]

Вчера состоялся традиционный ежемесячный выпуск патчей от компании Microsoft. В этот раз он включил в себя патчи для 4х уязвимостей в Windows, одной уязвимости в Microsoft Visual Studio и одной уязвимости в Microsoft Expression Design.

Мартовский набор патчей не совсем обычный. Дело в том, что он включает в себя одну опасную уязвимость в Remote Desktop Protocol (CVE-2012-0002), номер MS12-020. В связи с тем, что протокол RDP используется для удалённого управления компьютером, уязвимость в нём открывает широкие возможности перед хакерами для удалённого исполнения кода. Без каких-либо дополнительных усилий они могут легко получить контроль над компьютером жертвы. Уязвимости в RDP подвержены все версии Windows. Протокол RDP используется для удалённого управления Windows-системами, в том числе в облачных сервисах вроде Amazon AWS.

Нужно отметить, что будущий эксплойт будет эффективен только против систем, в которых активирована функция RDP («Удалённый помощник»), а функция NLA (network level authentication) установлена в значение пост-аунтентификации. В Windows по умолчанию RDP отключен.

Специалисты Microsoft оценивают срок появления эксплойта для RDP в 30 дней, после чего тот будет включён во многие популярные наборы эксплойтов. Они говорят, что написание эксплойта всё-таки не является тривиальным, так что вряд ли кто-то сможет сделать это в ближайшие дни, но 30 дней — это максимум.



Читать дальше

[Decker]

Бюллетень по безопасности (Майкрософт) MS12-020 - собственно ссылки на заплатки там же. Эх ... весело все будет с выходом exploit'а ... а ведь говорили же людям, что открытый наружу RDP не есть good ... никто не верил, вернее может и верили, но RDP по тем или иным причинам не закрывали, веря в надежность сложных паролей и т.д. и т.п.

Скачать комплект заплаток, состоящий из:

• Windows6.1-KB2667402-x64.msu
• Windows6.1-KB2621440-x64.msu
• Windows6.1-KB2667402-x86.msu
• Windows6.1-KB2621440-x86.msu
• WindowsServer2003.WindowsXP-KB2621440-x64-RUS.exe
• WindowsServer2003-KB2621440-x86-RUS.exe
• WindowsServer2003.WindowsXP-KB2621440-x64-ENU.exe
• WindowsServer2003-KB2621440-x86-ENU.exe
• WindowsXP-KB2621440-x86-RUS.exe
• WindowsXP-KB2621440-x86-ENU.exe

Т.е. фактически для русской и английской версии WinXP, Win2k3 (x86 / x64) и Windows 7 (x86 / x64) одним архивом можно тут.

p.s. Обновление для системы безопасности Windows Server 2008 (KB2621440) можно взять тут или тут.

[Decker]

После установки этого обновления похоже пропадает возможность доступа к клиентским дискам из под терминала через \\tsclient\<имя_диска>.

[Decker]

p.s. Тема с обсуждением на Хабре. Там же выложен ms12-020 "chinese shit" PoC на Python'е.

[Decker]

Как и предполагала компания Microsoft, хакерам не потребовалось много времени для написания эксплойта к уязвимости в Remote Desktop Protocol (RDP), информация о которой была обнародована в прошлый вторник одновременно с выпуском патча. Подробное описание уязвимости опубликовал в своём блоге итальянский специалист по безопасности Луиджи Аурииемма (Luigi Auriemma). Также был выложен неоптимизированный код эксплойта.

Специалист по безопасности не собирался публиковать потенциально вредоносный код, а ещё в мае 2011 года отправил его в Microsoft по программе Zero Day Initiative. Однако, в пятницу произошла утечка, и другой эксплойт для RDP появился в открытом доступе на китайском файлохостинге. По мнению самого Луиджи, утечка произошла со стороны Microsoft — исполняемый файл был скомпилирован в ноябре прошлого года на базе его собственного эксплойта и, очевидно, использовался для внутреннего тестирования, а потом был отправлен партнёрам Microsoft, участвующим в программе Microsoft Active Protections Program (MAPP).

В коде эксплойта содержатся некоторые дебаггерские строки вроде MSRC11678, что явно указывает на Microsoft Security Response Center (MSRC). Кроме того, эксплойт отправляет уникальный пакет на сервер Zero Day Initiative, такой же, какой был в оригинальной версии эксплойта, сделанного Луиджи.

Уязвимости в RDP подвержены все версии Windows, но только в том случае, если в системе активирован протокол RDP. Известный исследователь Дэн Камински просканировал около 300 млн IP-адресов (8,3% интернета) — и обнаружил 415 тысяч машин с включённым RDP на стандартном порту 3389. Общее количество потенциальных жертв эксплойта RDP можно оценить примерно в 5 миллионов. В первую очередь, это серверы и корпоративные пользователи.

[Decker]

Собственно, как вы уже поняли из предыдущего поста, код эксплойта ms12-020 появился в открытом доступе. Из описания уязвимости видно что достаточно послать этот код на TCP 3389 уязвимой машины, чтобы отправить ее в BSOD. Услышать это одно, а увидеть и проверить - совершенно другое. Набросал тут небольшое приложение на Delphi с использованием стандартного компонента TTcpClient для работы с сокетами, хотя на самом деле написать на чем угодно можно было:



Фактически оно представляет собой GUI обертку для MS12-020 PoC Exploit. В поле IP / HostName можно вводить как имя хоста (он автоматически преобразуется к IP), так и IP адрес. По результатам тестов на виртуальных машинах непропатченные 32-битные ОС WinXP SP3 (RUS), Win2k3 SP2 (RUS), Win7 SP1 (RUS), а также 64-х битная Win7 SP1 падают в BSOD:



Поэтому, если у вас отключены / недоступны автоматические обновления Windows и RDP открыт наружу - срочно установите обновления из бюллетеня ms12-020.

 MS12_020_POC_GUI_Decker.7z ( 265,58 килобайт ) Кол-во скачиваний: 315

Теги: MS12-020, MS12-020 PoC, MS12-020 Exploit, уязвимость в RDP, MS12-020 эксплойт, Decker's MS12-020 PoC GUI

[Decker]

И еще одна уязвимость в RDP ... Повреждение памяти в Microsoft Remote Desktop. Напоминаем, что информация об этой уязвимости опубликована 13 июня, т.е. это новая уязвимость, отличная от описанной здесь ранее ms12-020.

Microsoft Security Bulletin MS12-036 - Critical Vulnerability in Remote Desktop Could Allow Remote Code Execution (KB2685939).

Обновления для наиболее распространенных систем (XP SP3 EN/RU, 2003 EN/RU, 7 RU, 2008 RU) в одном архиве:

Код

WindowsServer2003-KB2685939-x86-ENU.exe
WindowsServer2003-KB2685939-x86-RUS.exe
WindowsXP-KB2685939-x86-ENU.exe
WindowsXP-KB2685939-x86-RUS.exe
Windows6.0-KB2685939-x86.msu
Windows6.1-KB2685939-x86.msu

Можно скачать тут. Обратите внимание, что "KB2570222 in MS11-065 and KB2621440 in MS12-020 replaced by KB2685939", т.е. обновление KB2685939 заменяет KB2685939 и KB2570222, иными словами достаточно поставить только его.

p.s. Кстати еще одно полезное замечание, если вы собираете для себя критические обновления где-то в одном месте, например, для установки на вновь установленные системы и т.п., то возможно вам пригодится следующий пакетный сценарий - autoinstall_updates.cmd:

Код

@echo off
for /r %%i in (*.exe) do ( echo Install %%~nxi
    %%i /passive /norestart
)    
rem shutdown -r -f -t 04

Достаточно сложить все *.exe обновлений в одну папку с autoinstall_updates.cmd, а затем запустить его.