Многие наверняка уже слышали страшную сказку о том, что в последний Черный Вторник корпорация Майкрософт выпустила критическое обновление для всех версий Windows, которое исправляет Страшную и Ужасную Уязвимость в RDP, а именно MS12-020 . По разным данным эксплуатировать эту уязвимость для чего-то более неприятного, чем вызов отказа в обслуживании (система уходит в Синий Экран Смерти ), очень сложно, и пока об удачных попытках удаленного выполнения кода лично мне ничего не известно. (Что, в принципе, ничего не доказывает, но надежда все-таки есть.) Потому что иначе, если будет найден способ выполнить на машине произвольный код, последствия могут быть сравнимы с эксплуатацией MS08-067 , а это, как мы помним, чрезвычайно проворные сетевые черви типа Downadup/Conflicker .
Как же проверить, что ваши драгоценные винды все до одной пропатчились и уже неуязвимы к этой потенциально катастрофической заразе? Существующий Proof-of-Concept код на Питоневызывает отказ в обслуживании системы, то есть, им проверять обширные парки серверов и рабочих станций не очень-то удобно. Выдернуть каждый комп в Интернет и посетить с него RDPcheck.comтоже как-то не с руки. К счастью, на днях для этих целей был написан скрипт для NMap , выполнить который можно вот таким простейшим образом, а результаты выполнения в комментариях не нуждаются.
Состояние "до":
Как же проверить, что ваши драгоценные винды все до одной пропатчились и уже неуязвимы к этой потенциально катастрофической заразе? Существующий Proof-of-Concept код на Питоневызывает отказ в обслуживании системы, то есть, им проверять обширные парки серверов и рабочих станций не очень-то удобно. Выдернуть каждый комп в Интернет и посетить с него RDPcheck.comтоже как-то не с руки. К счастью, на днях для этих целей был написан скрипт для NMap , выполнить который можно вот таким простейшим образом, а результаты выполнения в комментариях не нуждаются.
Состояние "до":
sudo wget http://seclists.org/nmap-dev/2012/q1/att-662/rdp-ms12-020.nse -O /usr/local/share/nmap/scripts/rdp-ms12-020.nse
sudo nmap -p3389 --script rdp-ms12-020 IP
Starting Nmap 5.61TEST5 ( http://nmap.org ) at 2012-03-28 15:22 EEST
Nmap scan report for HOST(IP )
Host is up (0.14s latency).
PORT STATE SERVICE
3389/tcp open ms-wbt-server
| rdp-ms12-020:
| VULNERABLE:
| MS12-020 Remote Desktop Protocol Vulnerability
| State: VULNERABLE
| IDs: CVE:CVE-2012-0152,CVE-2012-0002
| Risk factor: High CVSSv2: 9.3 (HIGH) (AV:N/AC:M/Au:N/C:C/I:C/A:C)
| Description:
| Remote Desktop Protocol vulnerability that could allow remote attackers to execute arbitrary code on the targeted system.
|
| Disclosure date: 2012-03-13
| References:
| http://technet.microsoft.com/en-us/security/bulletin/ms12-020
|_ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0152,CVE-2012-0002
MAC Address: 00:0C:29:39:77:E7 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 1.02 seconds
Состояние "после":
sudo nmap -p3389 --script rdp-ms12-020 IP
Starting Nmap 5.61TEST5 ( http://nmap.org ) at 2012-03-28 15:40 EEST
Nmap scan report for HOST (IP)
Host is up (0.00040s latency).
PORT STATE SERVICE
3389/tcp open ms-wbt-server
MAC Address: 00:0C:29:39:77:E7 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds
Переход из одного состояния в другое осуществляется путем установки обновления KB2621440 .