margin-top: 125px; border: 1px solid gray; } -->

První exploit kritické chyby v RDP protokolu Windows pochází přímo od Microsoftu a jeho partnerů

Karel Michal , 19. březen 2012 11:52 9 komentářů
První exploit kritické chyby v RDP protokolu Windows pochází přímo od Microsoftu a jeho partnerů

Vypadá to na bezpečnostní selhání takřka epických rozměrů, kritická chyba v RDP protokolu má exploit, za který může interní specifikace chyby přímo od Microsoftu a práce jednoho z bezpečnostních partnerů (výrobce antivirů). Jak je to možné?

O extrémně kritické chybě (a jediné kritické v posledním balíku záplat od MS) jsme vás již informovali dvakrát, poprvé těsně po jejím odhalení, pro jistotu ale znovu připomeňme, oč tu přesně běží.

Chyba v protokolu umožňuje na všech v současnosti podporovaných verzích systému Windows (starší nebyly testovány) získat pomocí protokolu pro vzdálený přístup poměrně snadnou cestou práva superuživatele.

Pro úspěšné provedení útoku musí mít uživatel možnost připojit se na port 3389, právě ten ke své činnosti využívá i RDP a kvůli popularitě vzdáleného přístupu mezi pokročilými uživateli jde o jeden z nejčastěji povolovaných portů na firewallech a NAT sítích. Je třeba dodat, že ve výchozím nastavení Windows není funkce RDP povolena. Problém se tedy ve skutečnosti týká hlavně firemního prostředí a pokročilých domácích uživatelů.

Chybu obsahují dokonce i současné Windows 8 Consumer Preview a, což je horší, serverové verze Windows. Určitou výjimku představuje Windows Server 2008 R2 SP1 s RemoteFX, zde sice také dojde k získání přístupu na server, ale bez systémových oprávnění.

Microsoft bezprostředně po přiznání chyby a zveřejnění záplaty tvrdil, že nezaznamenal žádné aktivní útoky na tuto chybu ani existenci rozšířeného exploitu, ale doporučoval okamžité stažení bezpečnostní aktualizace MS12-020.

Nyní to vypadá, že první část výroku již zjevně neplatí. Mezi dalšími záplatami Microsoftu již žádná není označena jako kritická. Výsledkem těchto chyb by nemělo být ovládnutí počítače, ale spíše útoky na dostupnost služby apod. Exploit pro extrémně nebezpečnou chybu se objevil na Internetu minulý pátek.

Jak došlo k úniku chyby na veřejnost?

První podezření na interní únik informací vyslovil italský bezpečnostní expert Luigi Auriemma, objevitel chyby, který v exploitu poměrně rychle identifikoval svůj vlastní kód. „Pokud je za únikem někdo z Microsoftu, bude to pro něho mít po jeho odhalení fatální následky,“ nechal se slyšet Auriemma. „Pokud jde o únik z MAPP, je to epické selhání celého systému,“ prohlásil dále.

Poté, co únik z vlastních řad vyloučila společnost TippingPoint, s níž Auriemma spolupracuje připustil Microsoft, že za únik skutečně pravděpodobně může Microsoft Active Protections Program, respektive některý z jeho z nezodpovědných spolupracovníků:

„Detaily celého proof-of-concept kódu se nápadně podobají informacím o zranitelnosti, které naše společnost zveřejnila svým bezpečnostním partnerům v programu Microsoft Active Protections Program," prohlašuje Microsoft. Tohoto programu se účastní několik desítek antivirových společností a nezávislých vývojářů, kteří participují na tvorbě bezpečnostního software pro systémy Windows. Jedná se o poměrně znepokojivé zjištěním, neboť Microsoft poskytuje informace o nalezených chybách bezprostředně po jejich odhalení, tedy často ještě před vytvořením bezpečnostní záplaty.

Co nyní se zlomenou důvěrou?

Vypadá to, že největší problém má zatím Microsoft, neboť byla drasticky otřesena důvěra v celý systém. "Naše společnost nyní aktivně vyšetřuje, jak mohlo k selhání dojít a připravujeme opatření k lepší ochraně našich zákazníků,“ nechal se slyšet Yunsun Wee, ředitel Trustworthy Computing Group ve společnosti Microsoft, zda li má ale již nyní Microsoft opravdu jasno, jak podobným incidentům do budoucna předcházet je značně nejisté. Naopak jisté je jedno, pokud bude viník úniku odhalen, čekají ho zřejmě hodně krušné časy, hon na čarodějnice zřejmě právě vypuknul.


Komentáře

Petr #1
Petr 19. březen 2012 13:00

Všechno je epické a fatální. Prostě jedna bezpečnostní díra, která má exploit dřív, než se objevila záplata.
To je toho, to se prostě stává i v lepších rodinách.

Pavlína Šimčáková 19. březen 2012 14:09

To je snad vtip ne. Si vemte s jakou slávou se to prezentuje, oslavuje a nadělá se kolem každé nové verze a buch buch zase nějaký problém. Asi by to ani uživatelům nevadilo kdyby se to pořád neopakovalo.

Karel Wolf 19. březen 2012 17:47

Tak největší problém je ztráta důvěry v samotný systém MAPP, jsem docela zvědavý, co s tím MS hodlá dělat.

Tom #5
Tom 22. březen 2012 20:09

MS vyda zaplatu, nebo novy OS a bude delat ze se nic nestalo a ani v budoucnu nic podobneho nestane ;)

Marek ARC #4
Marek ARC 22. březen 2012 09:13

Já se můžu jen usmívat. Že se takhle vášnivě píše o jedné z miliónů minulých i budoucích dírek v &MS-Windows. Já od nich nepoužívám nic ani doma ani v práci ani na serverech, takže nepotřebuji antivir, antispam a jiné nejisté ochrany. 100% ochrana sice neexistuje, ale proč jen kvůli pohodlnosti zvolit systém bez jakékoliv bezpečnosti

Pepe15th #6
Pepe15th 23. březen 2012 18:28

Tak tohle je přesně můj případ, neboli +1.

Stanley #7
Stanley 24. březen 2012 13:17

Nejsem asi dostatečně zkušený uživatel počítače, zkuste mi prosím vysvětlit, jak se vhodnou volbou operačního systému, samozřejmě jiného než Windows, vyhnu spamu? Chci se usmívat jako Vy :-)

MrFrace #8
MrFrace 29. březen 2012 09:37

No síla opět.... Já nevím co vy ale když se firma vyvíjející software zaměří na vyšperkování grafického prostředí, ale ovladače a jádro zůstane beze změny, tak co čekáte? Navíc mě udivuje jak jsou někteří lidé hloupí a ještě za to platí, vždyt kdyby microsoft zabezpečil nelegální kopie tak ho vlastně nikdo kdo o tom alespon trochu ví nepoužívá :D . Dle mě je to schopný freeware ale platit za windows nemá smysl.

m3rl0 #9
m3rl0 30. březen 2012 18:41

Přesně tak

RSS 

Komentujeme

Telefony vodní i podvodní

Pavel Houser , 16. červen 2017 13:00
Pavel Houser

Jako zajímavou technickou kuriozitu lze uvést, že všech 28 států NATO schválilo protokol Janus, kter...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Toshiba a Western Digital stále ve sporu

ČTK , 23. červen 2017 08:39

Toshiba chce prodat čipovou divizi skupině, za kterou stojí vláda. ...

Více 0 komentářů

CETIN vyplatí PPF za loňský rok dividendu 2,36 miliardy Kč

ČTK , 23. červen 2017 08:00

CETIN loni zvýšil čistý zisk o 16 % na 2,26 miliardy Kč....

Více 0 komentářů

VMware Horizon v cloudu Microsoft Azure

Pavel Houser , 22. červen 2017 11:50

Řešení pro poskytování desktopu jako služby za poslední roky vyzrála....

Více 0 komentářů

Starší zprávičky

Akcelerátor StartupYard získal 26 milionů Kč

Pavel Houser , 22. červen 2017 11:00

Pražský startupový akcelerátor společně s Fundliftem oznámil investici, kterou získal formou neveřej...

Více 0 komentářů

Česká asociace pojišťoven k pojištění kybernetických rizik

Pavel Houser , 22. červen 2017 10:00

Policie ČR v roce 2016 šetřila 5 344 kybernetických zločinů, což je o 321 (resp. 6,4 %) více než v p...

Více 0 komentářů

Soud řešil krádež bitcoinů. Znalec řekl, že obžalovaný je vinen

ČTK , 22. červen 2017 09:00

Tržiště vykradli dva Američané, převedli z něj bitcoiny asi za 100 milionů korun. Jiříkovský následn...

Více 2 komentářů

Národní elektronický nástroj bude povinný od července 2018

ČTK , 22. červen 2017 08:00

Od dubna platí, že všechny organizační složky státu a centrální zadavatelé musí s dodavateli zakázek...

Více 0 komentářů