MS12-020: ब्रीडिंग आरडीपी वर्म्स

मंगलवार को, Microsoft ने पैच के अगले बैच को जारी किया, और उनमें से हमारा ध्यान विशेष रूप से MS12-020 ने आकर्षित किया, जिसकी एक महत्वपूर्ण स्थिति है। भेद्यता एक विशेष रूप से तैयार किए गए आरडीपी पैकेज की शक्ति के साथ रिमोट सिस्टम पर मनमाने कोड को निष्पादित करने की अनुमति देती है। यह भेद्यता एमएस विंडोज के सभी संस्करणों को प्रभावित करती है, जिसमें 64-बिट संस्करण भी शामिल हैं। वास्तव में, पैच MS12-020 के दायरे में दो कमजोरियां CVE-2012-0002 (RDP में RCE) और CVE-2012-0152 (टर्मिनल सर्वर में DoS) बंद थीं। हम पहले भेद्यता में अधिक रुचि रखते हैं, क्योंकि यह बहुत अधिक खतरनाक है और नेटवर्क कीड़े की उपस्थिति का कारण बन सकता है जो इसे सक्रिय रूप से शोषण करेगा (फिलहाल मैं मैलवेयर में इसके उपयोग के मामलों के बारे में नहीं जानता हूं)।

वैसे, भेद्यता MS11-065 (अगस्त 2011), जिसने DoS (WinXP / 2003) की अनुमति दी और उसी rdpwd.sys ड्राइवर में देखा गया, जिसमें CVE-2012-0002 पाया गया था, अपेक्षाकृत हाल ही में बंद हुआ था। पैच से पहले और बाद में इन बदलावों को टाइमस्टैम्प्स द्वारा rdpwd.sys में ट्रैक किया जा सकता है। और MS11-065 के लिए और MS12-020 के लिए आधिकारिक परिवर्तन सूचियों में भी।






वास्तव में, मुख्य परिवर्तन हैंडलेअट्टाचेरसेरेक () फ़ंक्शन में देखे गए थे, जिसका एक विघटित संस्करण इस प्रकार दिखता है:





पैच से पहले सही किए गए ड्राइवर और ड्राइवर की तुलना करते समय, यह स्पष्ट है कि इतने सारे परिवर्तन नहीं थे।



यह देखा जा सकता है कि ExFreePoolWithTag () का उपयोग करके एक अतिरिक्त चेक और मेमोरी को फ्रीज किया गया था:



अब इन परिवर्तनों के विघटित संस्करण को देखें:





इस चेक की अनुपस्थिति दूरस्थ मेमोरी कैप्चर और अनधिकृत कोड निष्पादन की संभावना को बढ़ा सकती है। इसके अलावा, कोड निष्पादन कर्नेल में होता है।

CVE-2012-0152 (DoS in Terminal Server) का एक अच्छा विश्लेषण यहां पाया जा सकता है ।

एक राय है कि एक काम करने वाला शोषण पहले से मौजूद है:



शायद यह सिर्फ एक नकली है, लेकिन, हमारे पूर्वानुमानों के अनुसार, एक सार्वजनिक शोषण सबसे अधिक संभावना अगले हफ्ते मेटास्प्लोइट के हिस्से के रूप में दिखाई देगा, जो दुर्भावनापूर्ण कार्यक्रमों में इसकी उपस्थिति की एक श्रृंखला प्रतिक्रिया का कारण होगा।