Zdaniem pracowników firmy, wszystko wskazuje na to, że któryś z jej kontrahentów doprowadził do wycieku szczegółowych informacji o nowej luce w Windows. "Po analizie prototypowego exploita, który już pojawił się w Sieci, możemy powiedzieć, ze prawdopodobnie powstał on w oparciu o informacje, które udostępniliśmy naszym partnerom, biorącym udział w programie Microsoft Active Protection Program" - skomentował Yunsun Wee, dyrektor microsoftowego działu Trustworthy Computing.

"Prowadzimy właśnie postępowanie wyjaśniające w tej sprawie - chcemy się dowiedzieć jak doszło do wycieku danych i zrobić wszystko, by poufne informacje udostępniane przez nas w ramach MAPP już nigdy nie trafiły w niepowołane ręce" - dodał Wee.

Zobacz również:

• Niebotyczne ceny eksploitów zero-day
• Microsoft zapowiada nową linię małych modeli językowych AI

Program MAPP jest jednym z kilku podobnych projektów Microsoftu, mających za zadanie pomóc partnerom koncernu w tworzeniu oprogramowania zabezpieczającego. W tym przypadku współpraca polega na udostępnianiu producentom oprogramowania (oczywiście, tylko tym, którzy podpiszą stosowną umowę) informacji o błędach w Windows zanim owe błędy zostaną załatane. To pozwala im np. na przygotowanie własnych tymczasowych zabezpieczeń czy narzędzi służących do wykrywania prób ataku.

Z dokumentacji projektu wynika, że wśród takich informacji mogą znajdować się również przykładowe exploity, które tworzone są po to, by móc precyzyjnie zademonstrować mechanizm przeprowadzania ewentualnego ataku.

Pierwsze doniesienia o tym, że takie dane mogły wyciec pojawiły się pod koniec ubiegłego tygodnia, kiedy to włoski specjalista ds. bezpieczeństwa, Luigi Auriemma poinformował, że znalazł w sieci exploita na lukę w RDP, który był praktycznie identyczny jak kod, który on sam wcześniej dostarczył przedstawicielom projektu Zero Day Initiative (to Auriemma znalazł w ubiegłym roku ową lukę i zgłaszając ją do ZDI uzupełnił dokumentację o stworzonego samodzielnie exploita).

Przedstawiciele ZDI natychmiast skomentowali te doniesienia - zapewnili, że kod na pewno nie wyciekł od nich i że krótko po otrzymaniu zgłoszenia od włoskiego specjalisty przekazali wszystkie dane o problemie do Microsoftu. Naturalnym podejrzanym w tej sytuacji stał się koncern z Redmond - który krótko później poinformował, że faktycznie doszło do wycieku i że prawdopodobnie odpowiada za niego jeden z partnerów w programie MAPP.

Co ważne exploit ten nie pozwala na nieautoryzowane uruchomienie kodu na zaatakowanej maszynie - umożliwia on jedynie jej zdalne zawieszenie i wywołanie osławionego "niebieskiego ekranu śmierci".

Polecamy Debugger - lekarstwo na niebieski ekran

Dodajmy, że MAPP działa od 2008 r. - obecnie w ramach programu z Microsoftem współpracje ok. 80 firm (wśród nich m.in. AVG, Cisco, Kaspersky, McAfee, Trend Micro oraz Symantec). Pełną listę partnerów znaleźć można na stronie koncernu.

Yunsun Wee z Microsoft poinformował, że firma na razie nie ma jeszcze podejrzanego - ale zasugerował też, że gdy zostanie on namierzony, to powinien liczyć się z poważnymi konsekwencjami (partnerzy przystępujący do MAPP zobowiązują się do zachowania poufności). Wee dodał też, że jeśli doniesienia te się potwierdzą, to będzie to pierwszy przypadek wycieku danych z programu MS Active Protection Program.

Dodajmy, że aktualizacja MS12-020 usuwająca lukę w Windows wykorzystywaną przez exploit została opublikowana w ubiegły wtorek.