Læs også:
Hackere vil udnytte Windows-hul inden 30 dage
Computerworld News Service: Microsoft bekræftede fredag, at oplysninger om en sårbarhed sandsynligvis er blevet lækket til hackere via et samarbejde med leverandører af sikkerhedssoftware.
"Detaljer fra denne proof-of-concept-kode svarer tilsyneladende til de sårbarhedsoplysninger, der er blevet delt med partnere i Microsoft Active Protection Program," oplyser Yunsun Wee, der er leder af Microsofts Trustworthy Computing-gruppe, i et indlæg på selskabets sikkerhedsblog.
"Microsoft efterforsker aktivt offentliggørelsen af disse detaljer og vil tage de nødvendige forholdsregler for at beskytte kunderne og sikre, at fortrolige oplysninger, vi deler, er beskyttet i henhold til vores kontrakter og krav i forbindelse med samarbejdet," tilføjer Wee.
Derfor deler Microsoft viden
Under Microsoft Active Protection Program (MAPP) stiller Microsoft tekniske oplysninger om fejl til rådighed for udvalgte leverandører af antivirussoftware, før selskabet udsender fejlrettelser.
Formålet med MAPP er at give tredjepartsleverandører af sikkerhedssoftware oplysninger på forhånd, så de har bedre tid til at opdatere deres virus-signaturer.
På en side med ofte stillede spørgsmål om MAPP-samarbejdet oplyses det, at Microsoft blandt andet deler ting såsom proof-of-concept-kode og værktøjer til reproduktion, der kan kaste yderligere lys over et problem og hjælpe til at forbedre sikkerheden yderligere.
Microsofts bekræftelse fredag skete efter, at den italienske analytiker Luigi Auriemma, som rapporterede sårbarheden i Windows Remote Desktop-protokollen til Microsoft i maj 2011, tidligere på dagen havde skrevet om lækket på sin personlige blog.
Hvem har lækket koden?
Auriemma påstod, at kode fra en proof-of-concept-exploit fra et kinesisk website var identisk med kode, som han havde indleveret til HP TippingPoints Zero Day Initiative, der udlover dusører for demonstration af softwarefejl. Hans kode blev herefter brugt af ZDI til at skabe en fungerende angrebskode for at bekræfte sårbarheden.
Efterfølgende videregav ZDI oplysningerne til Microsoft om sårbarheden i Remote Desktop-protokollen heriblandt angrebskoden, der anvendte Auriemmas kode.
Den offentlige exploit indeholder ifølge Auriemma tekststrengen "MSRC11678," der er et sagsnummer fra Microsoft Security Response Center, hvilket indikerer, at lækket først er sket, efter koden har været Microsoft i hænde.
ZDI afviser da også at være kilde til lækket.
"Vi er 100 procent sikre på, at lækket ikke kommer fra os, og det stoler Microsoft på," udtaler Aaron Portnoy, der er leder af TippingPoints sikkerhedsanalyse-team og chef for ZDI, i et interview fredag.
Portnoy gennemgår i interviewet også hele rækkefølgen af, hvem der har haft ansvaret for Auriemmas kode - der er en særligt konstrueret datapakke, der udløser sårbarheden i Remote Desktop-protokollen - lige fra dens indsendelse til ZDI i maj 2011, til den blev inkluderet i den koncept-angrebskode, som ZDI leverede til Microsoft i august 2011 som del af en bredere analyse af sårbarheden.
Den proof-of-concept-angrebskode, der nu er i omløb blandt hackere, gør det ikke muligt af køre kode via fjernadgang - hvilket er nødvendigt for at kompromittere en pc eller server over internettet og derefter plante malware i systemet - men får i stedet en sårbar maskine til at gå ned, forklarer Portnoy. Resultatet er den klassiske såkaldte Blue Screen of Death i Windows.
Portnoy fremhæver også, hvad Wee fra Microsoft har påpeget om lighederne mellem den offentlige exploit og Auriemmas kode. "Vi kan bekræfte, at angrebskoden indeholder en pakke, der var del af, hvad Luigi gav os," siger Portnoy.
Microsofts partnere
Microsoft lancerede MAPP i 2008. Samarbejdet består af 79 partnere inden for sikkerhedsprodukter heriblandt AVG, Cisco, Kaspersky, McAfee, Trend Micro og Symantec samt adskillige kinesiske leverandører af antivirussoftware. Man kan finde en komplet oversigt over medlemmerne af MAPP på samarbejdets website.
Wee har ikke givet udtryk for, om Microsoft har en liste af mistænkte, men han bemærker, at alle informationer, der er videregivet til partnere i MAPP-samarbejdet er sket under "en streng fortrolighedserklæring."
Hvis lækket er foretaget af en MAPP-partner, så vil det være første gang, at noget sådant er sket i dette samarbejde.
Microsofts MS12-020-opdatering lukker sårbarheden i Remote Desktop-protokollen og kan downloades og installeres via Microsoft Update og Windows Update samt via Windows Server Update Services.
Oversat af Thomas Bøndergaard
Læs også:
