Los twitters de la esfera infosec anoche, y la blogosfera, esta mañana, estaban frenéticos sobre la fuga pública de un DoS PoC dirigido contra la vulnerabilidad CVE-2012-0002, el RDP pre auth remoto. Ya hicimos incapié en esta vulnerabilidad en nuestra anterior entrada del blog: “Martes de parches, marzo 2012 – Vulnerabilidad RCE use-after-free de pre-autentificación en ring0”. Antes que nada, aplica el parche. Pero si no puedes, usa la herramienta de mitigación que ofrece Microsoft: vale la pena tomarse la molestia en solicitar la autentificación de red, tomando en cuenta el riesgo bastante elevado de RCE en las próximas dos semanas. Puedes ver la lista de enlaces relacionados al costado de esta página, en la que hemos incluido uno para MS12-020.
Ha aparecido alguna información interesante sobre esta vulnerabilidad, incluyendo el hecho de que el virus apareció en mayo de 2011 y “ZDI/TippingPoint lo reportó a Microsoft en agosto de 2011”. El investigador Luigi Ariemma sostiene que no es el autor de la publicación de este trabajo (él suele publicar sus trabajos completos). Tras una cuidadosa investigación del mal codificado “rdpclient.exe” publicado online en foros chinos, encontró que se trataba de una copia barata del código único que él había proporcionado a ZDI y, a su vez a Microsoft, al informar sobre el virus de forma reservada. Esto es malo. Y algunos investigadores con conexiones con el exploit de código abierto Metasploit, como Joshua Drake, ya están ajustando el código, desarrollando y compartiendo un mejorado PoC. Como ha señalado Microsoft, la confianza en el desarrollo de un exploit público confiable en 30 días es muy alta.
A pesar de ello, las consecuencias de una fuga en el altamente cotizado programa MAPP podrían obstaculizar los sólidos e importantes esfuerzos que se han hecho en seguridad durante años de una considerable inversión, integridad, y maduración de procesos operativos y de desarrollo. Las opiniones e ideas sobre la fuga están disponibles en: Zero Day. Al mismo tiempo, creo que este incidente puede acabar en un simple defecto en la reputación del programa MAPP, pero es importante que se lo identifique y maneje adecuadamente. Con la expansión del programa, un incidente de esta naturaleza es algo para lo que sin duda se debería estar preparado.
ACTUALIZACIÓN: Al comenzar la tarde, Microsoft ha reconocido en el blog MSRC que el PoC que se filtró en foros chinos “parece coincidir con la información sobre la vulnerabilidad compartida con los socios de MAPP”, señala que todavía no circula públicamente ningún exploit RCE, aconseja parchar o mitigar con Fix-It, y anuncia que está iniciando una investigación sobre la filtración.
Actualización de la entrada Martes de parches de este mes: MS12-020/CVE-2012-0002