Microsoft tem código de exploração de vulnerabilidade divulgado

Quem vazou a prova de conceito de código de exploração para uma vulnerabilidade do Windows recém divulgada?

A Microsoft corrigiu na última semana uma vulnerabilidade “crítica” envolvendo o Remote Desktop Protocol (RDP) em todas as versões do Windows. Uma vez que o bug poderia ser usado por hackers para explorar remotamente um código de sua escolha em qualquer PC vulnerável, a companhia pediu que os usuários atualizassem seu software o mais rápido possível – ou usassem uma ferramenta temporária de migração – e avisou que era muito provável que um exploit, visando a falha (rotuladoMS12-020), poderia ficar pública em 30 dias.

Apenas dois dias depois, porém, a prova de conceito apareceu publicamente. Já existe uma recompensa – que chega a US$ 1,5 mil – para ver quem pode ser o primeiro a armar o código e adicioná-lo ao kit de ferramentas de testes de penetração Metasploit. No domingo, um usuário anônimo postou o plug-in Metasploit no Pastebin. Porém, ainda não ficou claro se o código disponibilizado funciona ou não.

Na semana passada, quando as notícias sobre a divulgação da prova de conceito chegava aos usuários de Windows, as acusações passaram pairar sobre quem tinha dado aos aspirantes a crackers uma vantagem para a exploração do código. As suspeitas rapidamente caíram sobre o programa da HP TippingPoint Zero Day Initiative (ZDI), que oferece recompensas para aqueles que descobrem bugs. Na época, o pesquisador de segurança italiano Luigi Auriemma disse em um post de blog que descobriu o bug em Maio de 2011 e, em seguida, vendeu-a ZDI, que verificou a falha e notificou a Microsoft em agosto de 2011. Porém, afirmou que não é responsável pelo vazamento das informações.

Da mesma maneira, a ZDI tem sido inflexível ao afirmar que não vazou as informações sobre a vulnerabilidade. “Estamos 100% confiantes de que a informação vazada sobre a MS12-020 não veio da ZDI”, disse a companhia por meio de um post no Twitter do Zero Day Initiative. Em resposta as críticas que diziam que não haveria outra maneira de vazamento a não ser a ZDI os responsáveis foram enfáticos. “Temos a confirmação de onde isso veio.”

Auriemma também defendeu a Zero Day Initiative observando que a prova de conceito (PoC) do código de exploração que vazou – e que incluiu o código que ele tinha escrito – foi marcado pela Microsoft. “O PoC executável foi compilado em novembro de 2011 e contém algumas seqüências de depuração como MSRC11678 que é uma clara referência ao Microsoft Security Response Center”, disse. Em suma, o documento vazado parece ser escrito pela Microsoft para os testes internos e vazou, provavelmente, durante a sua distribuição aos seus ‘parceiros’ para a criação de assinaturas de antivírus e assim por diante. O outro cenário possível é em torno de um funcionário da gigante de software como fonte direta ou indireta do vazamento. A intrusão de hackers é o cenário menos provável no momento. “

Na sexta-feira, entretanto, a Microsoft disse que também suspeita que o vazamento havia envolvido o Microsoft Active Protections Program que compartilha informações com os fabricantes de software de segurança. “Os detalhes do código de prova de conceito parecem coincidir com a informação de vulnerabilidade compartilhada com parceiros”, disse Yunsun Wee, diretor de computação confiável da Microsoft, em um post de blog. “A Microsoft investiga ativamente a divulgação destas informações e toma as medidas necessárias para proteger os clientes e garantir que os dados confidenciais que compartilhamos sejam protegidos nos termos dos nossos contratos e pelas exigências do programa.”

Em particular, ele observou que qualquer empresa que teve acesso a informação assinou um acordo de não divulgação antes de serem autorizados a acessar os dados, sugerindo que pode tomar providências legais para quem vazou o código.