LukaSafonov Jun 5 2013 at 15:35

Обнаружен эксплоит локального повышения прав в ОС Windows CVE-2013-3660

1 min

32K

Information Security*

+37

Comments 28

mnemoLinux Jun 5 2013 at 15:50

Решето. :)

savant Jun 5 2013 at 16:02

Опередил :(

DaleMartinWatson Jun 5 2013 at 15:56

Честно говоря, С знаю плохо, может кто-нибудь прояснить в чем суть дырки?

LukaSafonov Jun 5 2013 at 15:59

корни тут: seclists.org/fulldisclosure/2013/May/111

TIgorA Jun 5 2013 at 16:02

Работает в х86 системах.

Products Affected By CVE-2013-3660:
Microsoft Windows Server 2012

Fanta Jun 5 2013 at 16:39

и Microsoft Windows Server 2008 R2 туда же

sherbacov Jun 5 2013 at 17:07

Fanta Jun 5 2013 at 17:16

причем тут 2008 R2, их 32 битных нет.

вот именно, но на это никто не смотрит ведь это очередной вендокапец и чем больше ОС в списке тем он ближе :)
хакиры, такие хакиры (с)

Dinisoid Jun 5 2013 at 16:03

снова недры win32k :)

Triang3l Jun 5 2013 at 16:38

Windows 32000?

Triang3l Jun 5 2013 at 17:37

А, это файл драйвера.

Bo0oM Jun 5 2013 at 16:21

На rdot так же выкладывали исходники (даже в двух вариантах) пару дней назад.

navion Jun 5 2013 at 16:32

Жаль не показали вчера на TechEd, там как раз была сессия у TrueSec.

Aquahawk Jun 5 2013 at 16:33

и опять

Slipeer Jun 5 2013 at 16:35

В ESET подсуетились: на VirusTotal пока только они детектируют эту гадость

waltee Jun 5 2013 at 16:56

рискну подшутить…
гадость тут скорее всего не пуля а мишень :)

waltee Jun 5 2013 at 18:07

мда, рискнул…
наверное мои доводы ничем не подкреплены :)

UFO landed and left these words here

Fedcomp Jun 6 2013 at 02:38

Локальное повышение прав в винде для того и нужно чтобы из ограниченной учетки убежать не? а в linux эксплойтов по повышению прав тоже было много, но там либо до рута либо сложнее (например до пользователя от которого работает уязвимый процесс)

fuzz1on Jun 6 2013 at 08:03

Нет, просто для того, что бы эксплоит под linux заработал — нужно скачать версию под свое ядро, скомпилировать определенной версией компилятора, ну и что бы луна в третьей фазе была.

Fedcomp Jun 6 2013 at 09:22

если хакер имеет данные по эксплойту, доступ к ограниченной учетке и собственно эксплойт поддерживает архитектуру сервера (работает на той архитектуре которая стоит на сервере) то я не думаю что это большая помеха.
Просматривать ассемблерный код и играться с флагами компилятора чтобы скомпилировалось верно.

Fanta Jun 5 2013 at 16:52

blog.karmanov.org/2013/06/04/windows-epathobj-exploit/#more-2830

UFO landed and left these words here

Sheh Jun 5 2013 at 21:02

Во всем виновато государство.

Spurlos Jun 6 2013 at 00:27

Согласен. Наткнувшись на заголовок статьи в ридере ожидал больше чем набор ссылок по теме

LukaSafonov Jun 6 2013 at 09:33

Вот тут больше технических деталей — seclists.org/fulldisclosure/2013/May/111, решил не портить переводом, да и времени на доскональный разбор особо не было. Прошерстил рунет — толком ничего не было, решил уведомить хабрасообщество.

Sleuthhound Jun 6 2013 at 14:32

Хороший эксплоит, реально работает

0day1.exe cmd.exe
net user 111 111 /add
net localgroup Администраторы «mypc\111» /ADD

и пользователь 111 имеет права админа

Lordick Jun 7 2013 at 06:29

У меня все машины с win2k3 примерно через минуту вываливались в синий экран после успешного запуска. Но да, работает.