Exploit público para MS12-020 (Parchea tu windows!)

El pasado martes, Microsoft lanzó una actualización crítica MS12-020 (que supersede a MS11-065) que corrige una vulnerabilidad en la implementación del protocolo RDP. Según ladescripción de esta vulnerabilidad (CVE-2012-0002) podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en el sistema afectado.

Las empresas suelen publicar el puerto RDP (TCP 3389) a través de Internet para permitir el acceso remoto a sus servidores y estaciones de trabajo. Este factor hizo que sea muy atractivo para los atacantes realizar ingeniería inversa del parche, entender los detalles del error y elaborar un exploit chino, II y III (aparente válidos), el cual ya ha sido publicado en las últimas horas. No se debe perder de vista que anteriormente ya había circulado otro exploits falso supuestamente creado “by Sabu”.

La vulnerabilidad afecta la implementación de RDP de Microsoft Windows XP SP2 y SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, R2 y Windows 7. Por estas razones, se recomienda aplicar el parche MS12-020 tan pronto como sea posible en su entorno y también se puede aplicar un filtro para Snort.

Actualización: la vulnerabilidad y PoC original fue reportada a Microsoft por Luigi Auriemma(TippingPoint’s Zero Day Initiative) y al parecer el exploit chino empaquetado que fue publicado ayer, es exactamente el mismo, lo cual lleva a Luigi a preguntarse ¿quién lo filtró?.Esta publicación hará que no pase demasiado hasta que aparezca el primer gusano que aproveche la vulnerabilidad.

Fuente : Cristian de la Redacción de Segu-Info