Mellékleteink: HUP | Gamekapocs
Keres
>> Itt idei utolsó App! esemény, 4 órás intenzív, gyakorlatorientált blokkokban iOS8, Swift, Android 5.0, Android Wear és Universal apps programozás. <<

Kiszivárgott kóddal támadják a Windows Remote Desktopot

Gálffy Csaba, 2012. március 20. 13:53
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A Microsoft beismerte, hogy saját biztonsági partnerhálózatuk, a MAPP egyik tagja szivárogtatta ki a súlyos biztonsági hibát kihasználó kódot. A frissítés múlt hét óta letölthető, a telepítést sürgeti a szoftvercég.

A Microsoft saját biztonsági műhelyéből származik az a kód, amellyel kiaknázható a Windowsok  rendkívül fontos (MS12-020) biztonsági rése. A Remote Desktop szolgáltatásban található rést a márciusi menetrendszerű patch kedd keretében foltozta már a Microsoft, a kiszolgálókon üzemelő Windows Server frissítési ciklusa azonban hagyományosan hosszabb, a szoftvercég ezért arra kéri az üzemeltetőket, hogy a frissítést minél hamarabb telepítsék rendszereikre. Emellett szól az is, hogy ismert problémák a telepítéssel kapcsolatban nincsenek, egyelőre egyedül a javítás Windows 7-ről való eltávolítás eredményez hibás működést.

A hiba kiaknázására írt PoC (proof of concept) kódrészlet valóban kiszivárgott - ismerte be a Microsoft Security Response Center posztjában a szoftvercég. A kódot a Microsoft juttatta el a MAPP (Microsoft Active Protections Program) résztvevő partnereinek tanulmányozásra, valamelyiküktől azonban kiszivárgott és néhány nap alatt vadon élő támadó kód is született belőle. A kód eredetileg kínai hackerfórumokon került nyilvánosságra, a szakértők gyanúja szerint a MAPP valamely gyengébb reputációval rendelkező kínai partnercégétől. A kiszivárgás után a Microsoft feltehetően felülvizsgálja majd a MAPP-tagsághoz szükséges feltételeket, és szűrni fogja majd a különösen kritikus támadó kódokhoz hozzáférő partnereket.

A támadó csomagokat eredetileg létrehozó Luigi Auriemma később bejelentette, hogy a kikerült kód az ő munkájára épül - a támadást 2011 májusában juttatta el a Zero Day Initiative-nek. A biztonsági hálózat fizet a beküldött, friss biztonsági résekért, amelyet a rendszert üzemeltető HP a TippingPoint nevű behatolásérzékelő megoldásaiban használ fel, illetve továbbít az érintett szoftvergyártóknak. A Zero Day Initiative Twitteren már bejelentette, hogy már tudomása van a kiszivárogtató kilétéről, és az nem a ZDI partnerei közé tartozik.

Az MS12-020 kódú javítás két fontos sérülékenységet javít a Remote Desktop Protocolban. A súlyosabbik távoli kódfuttatást tesz lehetővé, ehhez a támadónak speciálisan kialakított RDP-csomagokkal kell bombáznia a célgépet. A másik sérülékenység szolgáltatásmegtagadásos támadást tesz lehetővé. Ugyan a Remote Desktop szolgáltatás alapértelmezetten ki van kapcsolva a Microsoft operációs rendszereiben, vállalati környezetben általános a szolgáltatás használata, ennek megfelelően a javítás kritikus besorolást kapott az összes támogatott Windows rendszeren.

A HUP fórumán egyes rendszergazdák arról számoltak be, hogy a telepítés után egyes kiszolgálókon leállt az RDP szolgáltatás, mások azonban nem tapasztaltak problémákat. A visszajelzések alapján azonban az is elképzelhető, hogy a frissítés hiánya súlyosabb probléma, a web felé néző szervereket már rendszeres időközönként támadják, a foltozatlan RDP bekapcsolása nyomán pedig hamarosan indul egy szolgáltatásmegtagadásos támadás.

Egy kis türelmet kérünk, töltjük a kommenteket...

Új komment írásához be kell jelentkezned!

A Fórumos azonosítódat is használhatod.

Ha még nem vagy tagunk, regisztrálj! Csak 2 perc az egész.

Tipp #1: több formázási lehetőséged van, ha a Fórumban szólsz hozzá a témához!
Tipp #2: készítettünk egy gyűjtőoldalt, ahol az összes friss kommentet megtekintheted.