Comments 35
Такая тишина потому что все POC побежали искать?
+6
как я понимаю, чтобы установить inf, нужно обладать правами суперпользователя. Тут это обходится, или рассчитано на тех, кто выключает uac?
+6
> В обоих случаях целями становятся страны НАТО.
Желтизна.
Желтизна.
+27
В чем желтизна? Жертвами этих групп становились страны восточной Европы, включая, Польшу. Все они входят в блок НАТО. Содержание документов также относилось к блоку. Ссылки на ресерч даны.
-3
Из оригинальной статьи
Судя по этой информации, не все так однозначно. Ну и западной европе тоже досталось.
Visible targets:
- NATO
- Ukrainian government organizations
- Western European government organization
- Energy Sector firms (specifically in Poland)
- European telecommunications firms
- United States academic organization
Судя по этой информации, не все так однозначно. Ну и западной европе тоже досталось.
+7
Выше уже отписали. От себя добавлю, что ссылаясь на военно-политический блок(а не, например, на географическое положение) необходимо указывать причины подобных ссылок. Создается ощущение, что атака — действия спецслужб противника, а подобные заявления без доказательств лучше не делать, т.к. в этом и заключается желтизна.
Через пару дней будут подробности, тогда уже можно будет говорить точнее.
Через пару дней будут подробности, тогда уже можно будет говорить точнее.
+17
Ничего не написано про способ заражения.
документ PowerPoint должен быть скачан?
документ PowerPoint должен быть скачан?
+2
всё что выходило под MS Office — обязательно к скачиванию и выполнению. В основном документы получаются невалидные, редко валидные и пользователь ничего не видит.
В любом случае мсофис есть «у всех» и уязвимость критическая — тут в НАТО, конечно, не пошлёшь, но конкуренты могут манагерам прислать «благодарственных писем»
В любом случае мсофис есть «у всех» и уязвимость критическая — тут в НАТО, конечно, не пошлёшь, но конкуренты могут манагерам прислать «благодарственных писем»
0
Как это соотносится с UAC? Он должен быть обязательно выключен, а пользователь должен обладать административными привилегиями?
+1
погуглите на тему UAC Bypass / Обход uac
0
Спасибо. Этот дроппер реализует уязвимость Bypass UAC?
0
А если сидеть под юзером, а на админе пароль?
UAC от безисходности глупости для тех кто сидит всегда под админом.
тег S Зачеркивание не работает (если между скобкой и s ставить пробел то работает )
UAC от безисходности
тег S Зачеркивание не работает (если между скобкой и s ставить пробел то работает )
0
А есть способы обхода, еще не покрытые патчами? Просветите, пожалуйста, если в курсе.
0
Я думал, подобные вещи публикуют после того, как выпустят исправляющий патч.
+2
А в особых случаях — для того, чтобы в компании кто-то получил пинок под зад и выпустил патч быстрее.
+11
Если уже эксплуатируется in the wild, много ли разницы?
+8
Сегодня должен был быть патч. Да и proof of concept не выложили.
0
pastebin.com/rfYAdRrF а в это время кто-то анализирует
spiskideputatov =)
spiskideputatov =)
0
Интересно, почему в списке уязвимостей — версии Windows, и ничего про версии MS Office? Уязвимы все начиная с Office 95?
+1
Судя по всему используется pptx — значит версии начиная с 2007. Под 2003 есть пакет конвертеров, но я сомневаюсь в том что он уязвим
0
Есть мнение, что ooxml — это буквальный перевод старого формата в xml, по сути — другой способ сериализации того же самого. То есть, что можно выразить в старом формате, можно и в новом, обратное тоже верно.
Если это правда, то должен быть способ построить и уязвимый ppt-документ в старом формате. В общем, чуть ниже уже прояснили — речь про обработку событий OLE, а ему сто лет в обед, первая версия датируется 1990-м, а фишка с действиями связана по-видимому с OLE Automation, которое появилось в 1994-м — как раз тогда, когда и разрабатывался office 95, и значит, он и должен быть первым офисом, который уязвим.
Но всё-таки винда по-любому должна спрашивать разрешения на установку. Я считаю, что ошибка в безопасности винды, а не в офисе, которому что сказали — он и делает.
Если это правда, то должен быть способ построить и уязвимый ppt-документ в старом формате. В общем, чуть ниже уже прояснили — речь про обработку событий OLE, а ему сто лет в обед, первая версия датируется 1990-м, а фишка с действиями связана по-видимому с OLE Automation, которое появилось в 1994-м — как раз тогда, когда и разрабатывался office 95, и значит, он и должен быть первым офисом, который уязвим.
Но всё-таки винда по-любому должна спрашивать разрешения на установку. Я считаю, что ошибка в безопасности винды, а не в офисе, которому что сказали — он и делает.
+1
Интересно, если .inf убран из списка исполняемых форматов (gpedit.msc -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Назначенные типы файлов), сработает ли эксплоит?
И куда скачивается файл? Если выполнение в *temp* запрещено, спасет ли это?
С момента опубликования поста о настройке групповых политик взял за привычку ограничивать область выполнения, спасало немало раз, но интересно было бы раздобыть такое «письмо счастья» и на виртуалке проверить.
И куда скачивается файл? Если выполнение в *temp* запрещено, спасет ли это?
С момента опубликования поста о настройке групповых политик взял за привычку ограничивать область выполнения, спасало немало раз, но интересно было бы раздобыть такое «письмо счастья» и на виртуалке проверить.
+3
На самом деле, как я понял уязвимость не PowerPoint связана. PP — лиь одна из возможных реализаций, кои можно множество придумать. Уязвимость — в самом движке OLE и атака может осуществляться через любой OLE-объект. И совершенно не факт, что запрет запуска INF-файлом поможет.
+1
Я не претендую ни на что, но по всей видимости ошибка в обработке действий над OLE-объектом
вот тут имеется только активировать объект и переименовать его
Я немного поковырялся =) и нашёл таки параметр отвечающий за действие
0 открытие
1 переименование
2 хз
3 установка
4 печать
5 хз
6 открыть с помощью
7 падает
8 хз
9 падает
10 диалог создания архива
11 автоматическое создание архива
12 диалог архива и на мыло
13 архим автоматом и на мыло
соответственно можно не просто открыть INF в блокноте, но и установить его практически без лишних вопросов.
по всей видимости, действия перебираются из контекстного меню
Правда, у меня алерт возник — ругается на то что файлик был сохранен из интернета (уж не знаю почему)
Сейчас 3 часа ночи, интереса у меня уже нет, а знаний начинает хватать всё меньше
вот тут имеется только активировать объект и переименовать его
Я немного поковырялся =) и нашёл таки параметр отвечающий за действие
0 открытие
1 переименование
2 хз
3 установка
4 печать
5 хз
6 открыть с помощью
7 падает
8 хз
9 падает
10 диалог создания архива
11 автоматическое создание архива
12 диалог архива и на мыло
13 архим автоматом и на мыло
соответственно можно не просто открыть INF в блокноте, но и установить его практически без лишних вопросов.
по всей видимости, действия перебираются из контекстного меню
Правда, у меня алерт возник — ругается на то что файлик был сохранен из интернета (уж не знаю почему)
Сейчас 3 часа ночи, интереса у меня уже нет, а знаний начинает хватать всё меньше
0
и да, вот мой недоPOC yadi.sk/i/USOSar1ic2djQ
0
кстати вот — оригинальный yadi.sk/d/DcL6td2rc2dsL — на свой страх и риск
0
Текст в презентации на скриншоте на русском. Ориентация атаки на русскоязычную аудиторию?
+1
cледы которой ведут в Россию
А доказательства есть?
0
Sign up to leave a comment.
Новая 0day уязвимость в Windows эксплуатируется in-the-wild