Публикацията на кода задейства тревога в коридорите на Редмънд, защото има ясни знаци че програмата за споделяне на уязвимости преди корекцията на Microsoft е била пробита или е претърпяла голямо изтичане.
Китайски хакери пуснаха код за доказателство за концепцията, който предоставя пътна карта за използване на a опасна RDP (протокол за отдалечен работен плот) уязвимост който беше коригиран от Microsoft по-рано тази седмица.
The публикация на кода във форум на китайски език засилва спешността да се приложи актуализацията MS12-020 на Microsoft, която адресира уязвимост при дистанционно, предварително удостоверяване, достъпно от мрежата изпълнение на код в изпълнението на RDP от Microsoft протокол.
Той също така задава алармени звънци в коридорите на Редмънд, защото има ясни признаци, че програмата за споделяне на уязвимости на Microsoft преди корекцията е била пробита или е претърпяла голямо изтичане.
Програмата, наречена MAPP (Microsoft Active Protections Program), предоставя данни за уязвимости и задейства доставчици на антивирусна програма, предотвратяване/откриване на проникване и корпоративна мрежова сигурност около 24 часа преди да бъде пусната корекцията освободен.
Програмата предоставя насоки за откриване преди време, за да помогне на доставчиците на сигурност да възпроизведат уязвимостите и да доставят сигнатури и възможности за откриване без фалшиви положителни резултати.Microsoft казва, че има строги насоки за да гарантирам, че данните няма да попаднат в неподходящи ръце, но в този случай моите източници ми казват, че китайските хакери са имали достъп до информацията за MAPP дори преди пускането на корекцията.
„Мога да кажа със 100% сигурност, че информацията за MAPP е попаднала в грешни ръце“, каза изследовател по сигурността с достъп до информацията за MAPP.
Това беше потвърдено от Luigi Auriemma, изследователят по сигурността, на когото Microsoft приписва откриването и докладването на уязвимостта при изпълнение на RDP код. В Twitter, - каза Ауриема пакетът, съхраняван в китайското доказателство за концепцията, беше „ТОЧНИЯТ“, който той предостави на TippingPoint ZDI (Инициатива за нулев ден), компанията, която купи правата върху информацията за грешки.
Auriemma предполага, че е имало ясно изтичане някъде по линията, публично сочейки с пръст Microsoft и ZDI.
В интервю Auriemma ми каза, че няма никакво съмнение, че китайското доказателство за концепцията идва от Microsoft. „Пакетът, който дадох на ZDI, не беше просто размит пакет. Модифицирах в някои моменти, за да го направя уникален“, обясни той, като отбеляза, че китайският код съдържа пакета „както е“.
(щракнете върху изображението за пълен размер, за да видите кодовия фрагмент)
Auriemma каза, че никога не е предоставил на Microsoft доказателство за концепция, което може да се използва, и спекулира, че кодът е написан от MSRC, за да помогне по време на процеса на сортиране и тестване на грешки. Но той е много ясен, че има теч (или пробив?) в Microsoft.
„Има някои части, които не са просто модификация на байтове. Направих някои уникални неща, за да улесня отстраняването на грешки. Позовах се на BER числата (числа с динамичен размер). Първоначално бяха 8-битови и аз ги преобразувах в 32-битови, в резултат на което пакетът увеличи размера си. И така, това е моят пакет“, каза Ауриема.
Длъжностни лица от Microsoft и ZDI не бяха достъпни за коментар по време на пресата.
Потвърдено изтичане на MAPP би било голямо насинено око за Microsoft, защото програмата се смята за бижу в усилията на компанията да защити екосистемата на Windows. През 2008 г., когато стартира програмата, Предупредих, че това е рискован ход поради вероятността информацията, преминаваща през MAPP, да бъде източена и продадена на злонамерени нападатели.
По това време Microsoft призна риска, но настоя, че ще блокира достъпа до програмата и ще приложи мерки за идентифициране на потенциални течове. Участниците в програмата трябва да подпишат NDA и да имат достатъчно значителна клиентска база за софтуер, ориентиран към защита.
След публикуването на китайския PoC, който в момента срива уязвими инсталации на Windows, Auriemma публикува негов собствен съветник с технически подробности за уязвимостта.
* Има още...