路易基奥列马,研究人员发现了一个最近修补关键弱点在微软的远程桌面协议(RDP),出版后一个概念验证利用一个单独的开发工作,他说可能源自微软,周五在网上泄露。
确认为cve - 2012 - 0002微软周二修补的关键的漏洞可以利用远程执行任意代码接受RDP连接的系统。
安全专家表达了担忧因为利用这个漏洞不需要身份验证,这意味着它可以被用来创建一个电脑蠕虫病毒。
然而,RDP默认是禁用Windows工作站上限制潜在目标的数量,所以我们不应该担心未来Conficker Carsten Eiram说,丹麦脆弱性研究公司首席安全专家Secunia。
即便如此,脆弱性仍然为攻击者提供了感兴趣因为RDP服务是常用的在企业环境中,通常可以通过防火墙。
“这是一个有吸引力的脆弱性从开发的角度看,各方正花费大量资源开发可靠的利用,“Eiram说。
创建一个工作利用cve - 2012 - 0002漏洞不是微不足道的,微软安全工程师苏哈可以和乔纳森·洛克说一篇博客文章周二。“我们会惊讶地看到一个发达在接下来的几天里。然而,我们希望看到在未来30天内利用开发的代码工作。”
然而,一个利用星期五早些时候出现在中国文件托管网站,微软和它的创造者是最有可能本身,奥列马说。“可执行PoC(概念验证利用)2011年11月被编译并包含一些调试字符串MSRC11678一样,这是一个明确的参考微软安全响应中心(MSRC)。”
此外,充分利用发送一个特殊的包,是相同的一个研究者包括在他的报告ZDI (Zero Day Initiative),支付人员的程序漏洞报告,随后股价影响供应商的细节。奥列马肯定是一样的包,因为它包含独特的元素,他补充说。
研究者认为,微软创造了利用内部测试,然后分享它与其他安全厂商通过微软主动保护程序(MAPP)使他们能够创建攻击和恶意软件签名。
文件可能被泄露的其中一个公司或一个微软员工,直接或间接,奥列马说。也有黑客窃取从微软的可能性,但这是不可能的,他补充说。
微软证实发布的概念验证代码似乎与一个与宾州伙伴共享。“微软正在积极调查披露共享微软主动保护程序(MAPP)漏洞细节,将采取必要的行动来保护客户,“Yunsun凌晨,微软的可信任运算集团负责人说,通过电子邮件。
的不寻常的泄漏,奥列马决定释放他的原始PoC利用一起一个顾问却将脆弱的确切位置。PoC很基本,但有经验的利用作家可以修改它来实现远程代码执行,研究者说。
“PoC的不一定很容易利用的漏洞,但它确实提供了一个坚实的起点,“Secunia的Eiram说。“获得补丁已经可以推断出漏洞的细节通过bindiffing(即比较修补的二进制文件和修改二进制文件),但结论如何触发漏洞并不总是那么简单。PoC可用,显然,这非常清楚。”
系统管理员还没有安装补丁cve - 2012 - 0002是强烈建议,或者至少部署微软在其描述的解决方案之一ms12 - 020安全公告。