Витік інформації Microsoft міститься в рядку китайського доказу концепції.
Компанії підтвердження витоку MAPP слідує реліз коду на китайськомовному форумі, який надає хакерам дорожню карту для запуску атак віддаленого виконання коду проти недоліків у реалізації протоколу RDP Microsoft.
Схоже, деталі коду підтвердження концепції збігаються з інформацією про вразливості, наданою партнерам Microsoft Active Protections Program (MAPP). Корпорація Майкрософт активно розслідує розкриття цих деталей і вживатиме необхідних заходів для захисту клієнтів і забезпечити захист конфіденційної інформації, якою ми ділимося, відповідно до наших контрактів і програми вимоги.
За словами Юнсуна Ві, директора групи Microsoft Trustworthy Computing, загальнодоступний публічний код для підтвердження концепції призводить лише до збоїв у системі Windows без виправлень через відмову в обслуговуванні.
«Ми продовжуємо спостерігати за загрозами, і нам не відомо про публічний код підтвердження концепції, який призводить до віддаленого виконання коду», — додав Ві.Ми рекомендуємо клієнтам розгорнути MS12-020 якнайшвидше, оскільки це оновлення безпеки захищає від спроб використання CVE-2012-0002. Крім того, ми запропонували a одним клацанням Виправити щоб допомогти зменшити ризики для тих клієнтів, яким потрібен час, щоб перевірити оновлення перед його розгортанням», – додала вона.
Корпорація Майкрософт не розповіла про деталі витоку MAPP, що фактично передало стороннім особам завчасне сповіщення — і код для підтвердження концепції — про вразливість до випуску виправлення. Компанія чітко дала зрозуміти, що деталі вразливості безпеки надаються партнерам MAPP «під суворим режимом Угода про нерозголошення», але немає жодної інформації про те, чи витік стався від третьої сторони чи від власної компанії Microsoft. внутрішній процес.
Компанія відмовилася надати представника для повного інтерв’ю.
Витік інформації Microsoft міститься в рядку китайського доказу концепції. Він посилається на "MSRC11678", який є номером справи центру реагування безпеки Microsoft, який було призначено вразливості, коли про неї повідомила TippingPoint Zero Day Initiative (ZDI).Навіть без того рядка, дослідник Луїджі Ауріємма сказав, що він на 100% впевнений, що витік походить від Microsoft завдяки кільком унікальним характеристикам.
Ауріємма, якій приписують пошук уразливості та повідомлення про неї, опублікувала деталі цих характеристик поряд із деякими не надто завуальованими зауваженнями до постачальника програмного забезпечення.
Окремо автори експлойтів у Core Security мають виштовхнутий «експлойт комерційного рівня» для свого інструменту тестування пера IMPACT. Кор сказав своє експлуатуватизапускає вразливість до пошкодження пам’яті в службі віддаленого робочого стола, надсилаючи неправильний пакет до порту 3389/TCP. Наразі він поставляється як модуль відмови в обслуговуванні в IMPACT.
Дослідники безпеки створили спеціальний веб-сайт (http://istherdpexploitoutyet.com/), щоб контролювати створення та випуск експлойтів, націлених на цю вразливість.