Publican exploits para la vulnerabilidad en RDP de Microsoft (MS12-020)

Recientemente en algunos foros chinos han aparecido PoC para explotar la vulnerabilidad CVE-2012-0002 que afecta a la función de escritorio remoto de Windows (RDP) y que podría permitir a un atacante ejecutar código remoto.

Microsoft ya publicó en marzo el boletín MS12-020 que soluciona los errores en RDP que habían sido puestos en su conocimiento a través de fuentes privadas. Si bien disponer de estos parches facilitó también el análisis para encontrar el 'agujero', disparando un carrera en la que incluso se ofrecieron recompensas para el primero que escribiera un exploit funcional. También existen serias sospechas de que los datos de explotación facilitados por Luigi Auriemma a ZDI hayan sido filtrados, ya que el paquete de la PoC china coincide según el propio investigador.

Ahora Microsoft piensa que podrían aparecer herramientas para explotar el fallo antes de 30 días por lo que recomienda (aún más) la actualización inmediata y la aplicación del parche lanzado.

Técnicamente la vulnerabilidad es de tipo 'use after free' y radica en rdpwd.sys, concretamente en la función HandleAttachUserReq (). Enviando un paquete RDP especialmente modificado con un valor de campo maxChannelIds igual o menor que 5, Terminal Services ejecuta RDPWD! NM_Disconnect , provocando un error en la carga de los elementos del array y pudiendo permitir a un atacante ejecutar código con privilegios de SYSTEM.

Podéis encontrar mayor detalle técnico y otra PoC en la página de Luigi Auriemma o en el blog de BinaryNinjas.

Actualización (26/03/2012):
Script nmap para comprobar si un servidor es vulnerable a ms12-020 sin provocar el BSoD:

Comentarios