Tientallen hackers hebben de uitdaging van Microsoft geaccepteerd en zijn begonnen met de ontwikkeling van een exploit voor het zeer ernstige lek in de Remote Desktop-functie van Windows. Dat lek werd afgelopen dinsdag gepatcht. Microsoft stelde dat aanvallers het lek binnen 30 dagen zullen misbruiken, maar het verwacht niet dat er in de komende dagen al aanvalscode wordt ontwikkeld. Via de kwetsbaarheid is het mogelijk om op afstand en zonder enige authenticatie Windows-computers over te nemen die Remote Desktop hebben ingeschakeld.
Op het Freenode IRC-kanaal, #ms12-020, zijn inmiddels tientallen hackers bezig met de ontwikkeling van een exploit. Daarnaast zijn er ook op Pastebin.com exploits verschenen, maar dat blijken hoaxes te zijn.
Blauw scherm
Eerder waren er op verschillende Chinese fora exploits ontdekt, maar de werking daarvan was nog niet bevestigd. Onderzoekers van anti-virusbedrijf Sophos stellen nu dat één van de Chinese RDP-exploits werkt en de computer met een blauw scherm laat crashen.
"Het zou geen verrassing zijn als degene die deze code schrijft die verder ontwikkelt om een zich snel verspreidende internetworm te produceren", aldus consultant Graham Cluley. De proof-of-concept exploit is op deze pagina te vinden.
Update: mogelijk lek van exploitcode
Volgens beveiligingsonderzoeker Luigi Auriemma, die het lek in augustus vorig jaar aan het Zero Day Initiative (ZDI) rapporteerde, dat vervolgens Microsoft inlichtte, is de code op de Chinese website identiek aan wat hij naar ZDI stuurde. Dat zou betekenen dat de informatie door iemand gelekt is, zo liet de onderzoeker op Twitter weten.
Verder zou informatie op de Chinese website alleen toegankelijk zijn voor MAPP-leden. MAPP bestaat uit beveiligingsbedrijven die voordat Microsoft beveiligingsupdates uitbrengt over de gepatchte kwetsbaarheden worden ingelicht. Dat zou erop duiden dat er mogelijk bij één van de aangesloten beveiligingsbedrijven is gelekt.
Aangezien de exploit nu openbaar is, besloot ook Auriemma zijn originele advisory te openbaren.
Deze posting is gelocked. Reageren is niet meer mogelijk.