Noticias
Exploit RDP Windows preparado por Microsoft, acaba en Internet filtrado por un socio
El código de un exploit preparado internamente por Microsoft, como una prueba de concepto para mostrar a sus socios la peligrosidad de un agujero crítico que afecta al escritorio remoto de sistemas Windows, ha acabado filtrado en Internet. Y lo malo es que la fuente parece provenir de uno de sus socios de seguridad en el programa MAPP.
Las comunidades de investigación de seguridad han sido un hervidero las últimas horas tras conocerse que el código de una prueba de concepto interno de Microsoft sobre la vulnerabilidad crítica del escritorio escritorio ha sido filtrada en un sitio web chino.
Lo peor de la noticia es que se trata de una copia exacta de la información que Microsoft envió a los miembros de su selectivo Microsoft Active Protections Program (MAPP), un programa creado hace cuatro años y en el que participan grandes firmas de seguridad con el fin de adelantarse con la creación de firmas de virus u otras herramientas a la publicación de parches de seguridad.
Microsoft ha confirmado la filtración de la prueba de concepto (POC) y dice «estar investigando activamente la divulgación de estos detalles y tomará las medidas necesarias para proteger a los clientes y asegurar que la información confidencial que compartimos es protegida de acuerdo a nuestros contratos, y requisitos del programa».
Filtración, muy grave, que puede haber llegado de manera accidental o deliberada seguramente desde el MAPP y cuyo código será aprovechado para los ciberdelincuentes para crear exploits maliciosos. Si Microsoft recomendó encarecidamente la actualización de los equipos al tener la previsión de que llegarían exploits en 30 días, ahora, con la prueba de concepto filtrada, la necesidad de actualización es aún mayor.
Sobre el parche ‘crítico’ (MS12-020), ya te contamos que resolvía dos vulnerabilidades que afectan al escritorio remoto de todos los sistemas Windows. La más grave de estas vulnerabilidades permitiría la ejecución remota de código si un atacante envía una secuencia de paquetes RDP a un sistema afectado. Aunque de forma predeterminada, el protocolo de Escritorio remoto (RDP) no está habilitado en Windows, su activación es trivial y común por usuarios avanzados, profesionales y empresas.