banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution  XML
  [Discussion]   Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution 16/03/2012 19:33:24 (+0700) | #1 | 259054
[Avatar]
hoalucky
Member

[Minus]    0    [Plus]
Joined: 28/06/2007 23:22:57
Messages: 46
Offline
[Profile] [PM]
Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution Vulnerability

Microsoft Remote Desktop Protocol is prone to a remote code-execution vulnerability.

Successful exploits will allow the attacker to execute arbitrary code in the context of the affected process. This may facilitate a complete system compromise. Failed attacks may cause denial-of-service conditions.

http://www.securityfocus.com/bid/52353/discuss

Lỗi này đã khai thác thành công rồi.
Bác nào cài windows thì vào đọc nhé. smilie
[Up] [Print Copy]
  [Discussion]   Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution 16/03/2012 22:28:16 (+0700) | #2 | 259075
[Avatar]
alupin
Member

[Minus]    0    [Plus]
Joined: 07/03/2012 20:03:25
Messages: 5
Offline
[Profile] [PM]
Nhân tiện ai biết cho mình hỏi cách debug mấy cái service, hình như dùng Windows Debuger thì phải, nhưng không biết cách dùng smilie
[Up] [Print Copy]
  [Discussion]   Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution 20/03/2012 21:49:39 (+0700) | #3 | 259406
[Avatar]
hoalucky
Member

[Minus]    0    [Plus]
Joined: 28/06/2007 23:22:57
Messages: 46
Offline
[Profile] [PM]
Mình mới thấy video demo,
http://www.youtube.com/watch?v=xrrBkLTXjtE&feature=youtube_gdata
Về bản chất của vấn đề này mới nắm được đó là lỗi RMD,
Bác nào am hiểu thì góp ý cùng đi
[Up] [Print Copy]
  [Discussion]   Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution 21/03/2012 11:26:56 (+0700) | #4 | 259451
[Avatar]
H3x4
Member

[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]
Mình có phân tích về bug này và cách để trigger nó lên, đồng thời 1 số hướng tham khảo để biến thành exploit.
http://bkitsec.vn/?p=389
PS: hiện tại trên thế giới vẫn chưa có reliable exploit nào, rất nhiều người đang tìm cách khai thác nó nhưng việc đó có vẻ như rất khó!
[Up] [Print Copy]
  [Discussion]   Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution 22/03/2012 20:50:30 (+0700) | #5 | 259621
huydd
Member

[Minus]    0    [Plus]
Joined: 26/02/2009 17:25:44
Messages: 26
Offline
[Profile] [PM]

H3x4 wrote:
Mình có phân tích về bug này và cách để trigger nó lên, đồng thời 1 số hướng tham khảo để biến thành exploit.
http://bkitsec.vn/?p=389
PS: hiện tại trên thế giới vẫn chưa có reliable exploit nào, rất nhiều người đang tìm cách khai thác nó nhưng việc đó có vẻ như rất khó!
 


Có vẻ như có virus ăn theo lỗi này tự động dò cổng 3389 mở trên Internet và shutdown server cho vui rồi, ví dụ đây này /hvaonline/posts/list/41690.html#259620
Tôi đã thử khai thác với Metasploit (update revision 16005 ngày 22/03/2012 đã có MS12-020 auxiliary/dos/windows/rdp/ms12_020_maxchannelids) và hạ thành công windows 7 và win2k3 cài RDP không bật secure
[Up] [Print Copy]
  [Discussion]   Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution 22/03/2012 21:44:38 (+0700) | #6 | 259627
[Avatar]
H3x4
Member

[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]
Hiện giờ chưa có cái RCE exploit nào đâu, cả Metasploit lẫn Core Impact, tuy nói là "grade commercial" nhưng thực tế vẫn chỉ là DOS thôi.
Bạn khai thác kiểu nào thế? DOS cũng gọi là khai thác thành công à smilie
Còn bug để DOS thì trong bài viết mình cũng đã nói khá rõ rồi! Nếu có thời gian nên tranh thủ nghiên cứu tìm hiểu thử nguyên nhân của nó thay vì đem tool về chạy chơi smilie
[Up] [Print Copy]
  [Discussion]   Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution 23/03/2012 00:51:05 (+0700) | #7 | 259641
huydd
Member

[Minus]    0    [Plus]
Joined: 26/02/2009 17:25:44
Messages: 26
Offline
[Profile] [PM]
Mỗi người có một hướng, một việc bạn à. Thời gian và công việc của tôi không cho phép tôi làm được như bạn nên tôi chỉ có thể thử hành vi và phòng tránh theo kinh nghiệm + khuyến nghị. Việc chạy tool xác định hành vi là một phần công việc chứ không phải chạy chơi, và mục tiêu DOS mà bị khai thác cũng đủ để chết và mất nghiệp rồi bạn ạ.
Tất nhiên tôi luôn trân trọng các kết quả mà các bạn dày công nghiên cứu, đọc dịch và tìm tòi ra smilie
[Up] [Print Copy]
  [Discussion]   Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution 26/03/2012 09:01:09 (+0700) | #8 | 259850
[Avatar]
H3x4
Member

[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]
@huydd: Okie, mình nói hơi quá lời smilie. Vì mình có hơi hướng suy nghĩ về 1 số người hay thích DOS người khác, cứ lấy tool đi phá mà không chịu tìm tòi học hỏi gì.
Xin lỗi bạn huydd !
PS: hiện h có thể nói là phần lớn đã bỏ cuộc cái bug này, vì cái giá exploit quá cao, và hoàn toàn khó có tính khả thi với những mục tiêu từ xa ( việc spray ở mức kernel pool khá là khó khăn) do vậy bug này có lẽ sẽ dừng lại ở một DOS bug.
[Up] [Print Copy]
  [Discussion]   Microsoft Remote Desktop Protocol CVE-2012-0002 Remote Code Execution 27/03/2012 09:19:19 (+0700) | #9 | 259946
[Avatar]
hoalucky
Member

[Minus]    0    [Plus]
Joined: 28/06/2007 23:22:57
Messages: 46
Offline
[Profile] [PM]
@H3x4 nói đúng, mình cũng đã tìm hiểu về bug của nó nhưng giá cả thì cao mà hiệu quả thì chưa thấy rõ. Việc update bản vá xong thì coi như chẳng khai thác được qua lỗi này nữa.

[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|