Microsoft: exploit na Windows wyciekł z MAPP
- Antoni Steliński,
- 19.03.2012, godz. 11:38
Przedstawiciele koncernu z Redmond poinformowali, że kod umożliwiający zaatakowanie Windows przez lukę w protokole RDP przygotował ktoś, kto miał dostęp do informacji, które Microsoft udostępnił partnerom w ramach programu MS Active Protection Program (MAPP).
Polecamy:
"Prowadzimy właśnie postępowanie wyjaśniające w tej sprawie - chcemy się dowiedzieć jak doszło do wycieku danych i zrobić wszystko, by poufne informacje udostępniane przez nas w ramach MAPP już nigdy nie trafiły w niepowołane ręce" - dodał Wee.
Zobacz również:
Program MAPP jest jednym z kilku podobnych projektów Microsoftu, mających za zadanie pomóc partnerom koncernu w tworzeniu oprogramowania zabezpieczającego. W tym przypadku współpraca polega na udostępnianiu producentom oprogramowania (oczywiście, tylko tym, którzy podpiszą stosowną umowę) informacji o błędach w Windows zanim owe błędy zostaną załatane. To pozwala im np. na przygotowanie własnych tymczasowych zabezpieczeń czy narzędzi służących do wykrywania prób ataku.
Z dokumentacji projektu wynika, że wśród takich informacji mogą znajdować się również przykładowe exploity, które tworzone są po to, by móc precyzyjnie zademonstrować mechanizm przeprowadzania ewentualnego ataku.
Pierwsze doniesienia o tym, że takie dane mogły wyciec pojawiły się pod koniec ubiegłego tygodnia, kiedy to włoski specjalista ds. bezpieczeństwa, Luigi Auriemma poinformował, że znalazł w sieci exploita na lukę w RDP, który był praktycznie identyczny jak kod, który on sam wcześniej dostarczył przedstawicielom projektu Zero Day Initiative (to Auriemma znalazł w ubiegłym roku ową lukę i zgłaszając ją do ZDI uzupełnił dokumentację o stworzonego samodzielnie exploita).
Przedstawiciele ZDI natychmiast skomentowali te doniesienia - zapewnili, że kod na pewno nie wyciekł od nich i że krótko po otrzymaniu zgłoszenia od włoskiego specjalisty przekazali wszystkie dane o problemie do Microsoftu. Naturalnym podejrzanym w tej sytuacji stał się koncern z Redmond - który krótko później poinformował, że faktycznie doszło do wycieku i że prawdopodobnie odpowiada za niego jeden z partnerów w programie MAPP.
Co ważne exploit ten nie pozwala na nieautoryzowane uruchomienie kodu na zaatakowanej maszynie - umożliwia on jedynie jej zdalne zawieszenie i wywołanie osławionego "niebieskiego ekranu śmierci".
Polecamy Debugger - lekarstwo na niebieski ekran
Dodajmy, że MAPP działa od 2008 r. - obecnie w ramach programu z Microsoftem współpracje ok. 80 firm (wśród nich m.in. AVG, Cisco, Kaspersky, McAfee, Trend Micro oraz Symantec). Pełną listę partnerów znaleźć można na stronie koncernu.
Yunsun Wee z Microsoft poinformował, że firma na razie nie ma jeszcze podejrzanego - ale zasugerował też, że gdy zostanie on namierzony, to powinien liczyć się z poważnymi konsekwencjami (partnerzy przystępujący do MAPP zobowiązują się do zachowania poufności). Wee dodał też, że jeśli doniesienia te się potwierdzą, to będzie to pierwszy przypadek wycieku danych z programu MS Active Protection Program.
Dodajmy, że aktualizacja MS12-020 usuwająca lukę w Windows wykorzystywaną przez exploit została opublikowana w ubiegły wtorek.