Microsoft ontkent meldingen van Windows RDP-exploit
Hackers hebben nog niet ontdekt hoe ze een zeer ernstig beveiligingslek in de Windows Remote Desktop-functie kunnen misbruiken, aldus Microsoft. De softwaregigant patchte dinsdag het lek in de functie, waardoor op afstand op computers is in te loggen. Via de kwetsbaarheid zou een aanvaller alleen maar een speciaal pakketje naar een Windows computer met Remote Desktop hoeven te sturen, om die vervolgens over te nemen.
Onderzoekers van Kaspersky Lab ontdekten op een Chinees forum iemand die beweert een proof-of-concept exploit voor MS12-020 te hebben ontwikkeld. Het nummer van het Security Bulletin waarmee Microsoft het lek heeft gepatcht. Er kon nog niet worden bevestigd of de exploit ook daadwerkelijk werkt.
Exploit
De Russische beveiligingsonderzoeker Valery Marchuk beweert dat hij op een andere Chinese website een werkende exploit heeft aangetroffen. Die website is echter niet meer online, maar Marchuk plaatste op zijn eigen site een screenshot van de exploit waarmee een Windows Server 2003 installatie wordt gehackt. Het is onduidelijk of het hier om dezelfde exploit van het Chinese forum gaat, of het een andere betreft en of de exploit ook daadwerkelijk werkt.
Microsoft, dat liet weten dat het niet verwacht dat hackers in de komende paar dagen een exploit zullen ontwikkelen, zegt dat er nog niets aan de hand is. "We hebben nog geen enkel bewijs gezien dat op publieke exploitcode duidt of actieve aanvallen voor het probleem dat door MS12-020 wordt opgelost", aldus Yunsun Wee, directeur Trustworthy Computing bij Microsoft.
http://svn.secmaniac.com/social_engineering_toolkit/src/fasttrack/exploits/ms08067.py
Er is op een andere chinese website wel een werkende poc gevonden. Interessant genoeg zit daarin een string met een MS case nummer, mogelijk code die is gedeeld als onderdeel van MAPP:
http://twitter.com/#!/jduck1337/status/180495975377408001
Bovendien bevat het exact de poc van Luigi:
ms12-020 mistery: the packet stored in the "chinese" rdpclient.exe PoC is the EXACT ONE I gave to ZDI!!! @thezdi? @microsoft? who leaked?
Intussen is er ook een advisory van Luigi:
http://aluigi.org/adv/termdd_1-adv.txt
#############################################################################
# MS12-020 Exploit by Sabu
# sabu@fbi.gov
# Uses FreeRDP
#############################################################################
De auteur van de exploit heeft in ieder geval gevoel voor humor
http://pastebin.com/jZt9gmD5
http://pastebin.com/WYx9kRQ6
http://pastebin.com/jzQxvnpj
#############################################################################
# MS12-020 Exploit by Sabu
# sabu@fbi.gov
# Uses FreeRDP
#############################################################################
De auteur van de exploit heeft in ieder geval gevoel voor humor
code uit metasploit met een andere header, en dus oude exploit
http://aluigi.org/adv/termdd_1-adv.txt
china hackt toch niet.
echt niet !!!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
