Только Microsoft выпустила исправление критической уязвимости в RDP, как началась гонка за эксплоитом к ней.
Прошло всего несколько часов после выхода исправления, как в Сети был опубликован первый бинарный анализ патча к MS12-020. В этот же день, 14 марта, появилось объявление от покупателя, желающего завладеть рабочим эксплоитом к уязвимости CVE-2012-0002 за $1435, вскоре гонорар увеличился до $1500.
В ночь на 15 марта бывший участник LulzSec по имени Sabu опубликовал на Pastebin исходный код эксплоита, который, однако, оказался шуткой, так как не демонстрировал наличие уязвимости в RDP. Функциональный код появился днем 15 марта на китайских форумах. Это был файл rdpclient.exe. Он содержал строку «MSRC11678». MSRC – исследовательская лаборатория компании Microsoft. Этот факт стал неожиданностью для IT-мира.
После появления в открытом доступе файла rdpclient.exe появилось уведомление от итальянского исследователя Луиджи Ориемма (Luigi Auriemma). Он опубликовал демонстрационный код и описание уязвимости CVE-2012-0002. Исследователь сообщает, что подробности обнаруженной им уязвимости он сообщил компании Zero Day Initiative (ZDI) в мае 2011 года. В ноябре 2011 года сотрудники этой компании передали в Microsoft рабочий PoC-код. Кстати, у Linux подобных проблем нет. Установка Linux не займет много времени, но за то вы никогда не будите испытывать проблем подобные Microsoft.
Как утверждает Луиджи в своем Твите: «В китайском rdpclient.exe PoC-коде использован ИМЕННО ТОТ пакет, который я передал в ZDi». Луиджи предположил, что в утечке данных мог участвовать кто-то из партнеров Microsoft по MAAP.
Microsoft уже начала расследование в связи с этим инцидентом, сообщил директор Microsoft Trustworthy Computing Юнсан Ви (Yunsun Wee) в своем интервью изданию V3. Он уверил, что компания принимает меры, чтобы обеспечить безопасность своих клиентов.
Старший технический консультант Sophos Грэм Клули (Graham Cluley): «Уязвимые устройства выдают синий «экран смерти». Мы зафиксировали несколько попыток эксплуатации этой уязвимости. Я не удивлюсь, если хакеры попытаются запустить червя, быстро размножающегося в Сети».
Специалисты по информационной безопасности настоятельно рекомендуют пользователям установить исправление MS12-020.