web stats

Exploit para escritorio remoto de Windows filtrado por partners de Microsoft

Exploit para escritorio remoto de Windows filtrado por partners de Microsoft

Un exploit preparado por la propia Microsoft como prueba de concepto para sacar partido a una vulnerabilidad RDP de Windows ha acabado en Internet. La compañía mostró ese código a las compañías del Microsoft Active Protections Program (MAPP).

Las comunidades de investigación de seguridad han sido un hervidero las últimas horas tras conocerse que el código de una prueba de concepto interno de Microsoft sobre la vulnerabilidad crítica del escritorio escritorio ha sido filtrada en un sitio web chino.

Lo peor de la noticia es que se trata de una copia exacta de la información que Microsoft envió a los miembros de su selectivo Microsoft Active Protections Program (MAPP), un programa creado hace cuatro años y en el que participan grandes firmas de seguridad con el fin de adelantarse con la creación de firmas de virus u otras herramientas a la publicación de parches de seguridad.

Microsoft ha confirmado la filtración de la prueba de concepto (POC) y dice “estar investigando activamente la divulgación de estos detalles y tomará las medidas necesarias para proteger a los clientes y asegurar que la información confidencial que compartimos es protegida de acuerdo a nuestros contratos, y requisitos del programa”.

Filtración, muy grave, que puede haber llegado de manera accidental o deliberada seguramente desde el MAPP y cuyo código será aprovechado para los ciberdelincuentes para crear exploits maliciosos. Si Microsoft recomendó encarecidamente la actualización de los equipos al tener la previsión de que llegarían exploits en 30 días, ahora, con la prueba de concepto filtrada, la necesidad de actualización es aún mayor.

Sobre el parche ‘crítico’ (MS12-020), ya te contamos que resolvía dos vulnerabilidades que afectan al escritorio remoto de todos los sistemas Windows. La más grave de estas vulnerabilidades permitiría la ejecución remota de código si un atacante envía una secuencia de paquetes RDP a un sistema afectado. Aunque de forma predeterminada, el protocolo de Escritorio remoto (RDP) no está habilitado en Windows, su activación es trivial y común por usuarios avanzados, profesionales y empresas.