Vypadá to na bezpečnostní selhání takřka epických rozměrů, kritická chyba v RDP protokolu má exploit, za který může interní specifikace chyby přímo od Microsoftu a práce jednoho z bezpečnostních partnerů (výrobce antivirů). Jak je to možné?
O extrémně kritické chybě (a jediné kritické v posledním balíku záplat od MS) jsme vás již informovali dvakrát, poprvé těsně po jejím odhalení, pro jistotu ale znovu připomeňme, oč tu přesně běží.
Chyba v protokolu umožňuje na všech v současnosti podporovaných verzích systému Windows (starší nebyly testovány) získat pomocí protokolu pro vzdálený přístup poměrně snadnou cestou práva superuživatele.
Pro úspěšné provedení útoku musí mít uživatel možnost připojit se na port 3389, právě ten ke své činnosti využívá i RDP a kvůli popularitě vzdáleného přístupu mezi pokročilými uživateli jde o jeden z nejčastěji povolovaných portů na firewallech a NAT sítích.
Je třeba dodat, že ve výchozím nastavení Windows není funkce RDP povolena. Problém se tedy ve skutečnosti týká hlavně firemního prostředí a pokročilých domácích uživatelů.
Chybu obsahují dokonce i současné Windows 8 Consumer Preview a, což je horší, serverové verze Windows. Určitou výjimku představuje Windows Server 2008 R2 SP1 s RemoteFX, zde sice také dojde k získání přístupu na server, ale bez systémových oprávnění.
Microsoft bezprostředně po přiznání chyby a zveřejnění záplaty tvrdil, že nezaznamenal žádné aktivní útoky na tuto chybu ani existenci rozšířeného exploitu, ale doporučoval okamžité stažení bezpečnostní aktualizace MS12-020.
Nyní to vypadá, že první část výroku již zjevně neplatí. Mezi dalšími záplatami Microsoftu již žádná není označena jako kritická. Výsledkem těchto chyb by nemělo být ovládnutí počítače, ale spíše útoky na dostupnost služby apod. Exploit pro extrémně nebezpečnou chybu se objevil na Internetu minulý pátek.
Jak došlo k úniku chyby na veřejnost?
První podezření na interní únik informací vyslovil italský bezpečnostní expert Luigi Auriemma, objevitel chyby, který v exploitu poměrně rychle identifikoval svůj vlastní kód. „Pokud je za únikem někdo z Microsoftu, bude to pro něho mít po jeho odhalení fatální následky,“ nechal se slyšet Auriemma. „Pokud jde o únik z MAPP, je to epické selhání celého systému,“ prohlásil dále.
Poté, co únik z vlastních řad vyloučila společnost TippingPoint, s níž Auriemma spolupracuje připustil Microsoft, že za únik skutečně pravděpodobně může Microsoft Active Protections Program, respektive některý z jeho z nezodpovědných spolupracovníků:
„Detaily celého proof-of-concept kódu se nápadně podobají informacím o zranitelnosti, které naše společnost zveřejnila svým bezpečnostním partnerům v programu Microsoft Active Protections Program,“ prohlašuje Microsoft. Tohoto programu se účastní několik desítek antivirových společností a nezávislých vývojářů, kteří participují na tvorbě bezpečnostního software pro systémy Windows. Jedná se o poměrně znepokojivé zjištěním, neboť Microsoft poskytuje informace o nalezených chybách bezprostředně po jejich odhalení, tedy často ještě před vytvořením bezpečnostní záplaty.
Co nyní se zlomenou důvěrou?
Vypadá to, že největší problém má zatím Microsoft, neboť byla drasticky otřesena důvěra v celý systém. „Naše společnost nyní aktivně vyšetřuje, jak mohlo k selhání dojít a připravujeme opatření k lepší ochraně našich zákazníků,“ nechal se slyšet Yunsun Wee, ředitel Trustworthy Computing Group ve společnosti Microsoft, zda li má ale již nyní Microsoft opravdu jasno, jak podobným incidentům do budoucna předcházet je značně nejisté. Naopak jisté je jedno, pokud bude viník úniku odhalen, čekají ho zřejmě hodně krušné časy, hon na čarodějnice zřejmě právě vypuknul.