В обновлении MS14-060 обнаружен 0day

    Компания Microsoft выпустила оповещение безопасности SA 3010060, в котором сообщается о новой 0day уязвимости в компоненте OLE package manager (Packager.dll) для Windows Vista+. Обновление для системной библиотеки Packager.dll вышло на прошлой неделе в рамках ежемесячного patch tuesday для закрытия другой 0day уязвимости (CVE-2014-4114), о которой мы писали здесь. В уже исправленном компоненте обнаружена уязвимость CVE-2014-6352. Эта уязвимость также как и ее предшественница уже используется атакующими для удаленного исполнения кода через специальным образом сформированный файл презентации PowerPoint со встроенным OLE-объектом.



    Для помощи пользователям было выпущено решение FixIt, которое можно скачать по этой ссылке. В типичном сценарии атаки с помощью этой уязвимости, атакующие отправляют вредоносный файл презентации PowerPoint на почтовый ящик пользователя. Далее эксплойт позволяет загрузить с удаленного сервера вредоносное ПО и установить его в систему. Пользователям EMET 5.0 можно добавить специальную настройку, которая позволит блокировать действия эксплойта. Кроме этого, UAC также отобразит соответствующее предупреждение о повышении прав при исполнении эксплойта.


    Рис. Настройка EMET для блокирования загрузки Packager.dll в контекст процесса PowerPoint. Подробнее про ASR можно прочитать здесь.

    Microsoft также рекомендует активировать опцию ASR для процесса dllhost.exe, но при этом должны быть выключены все остальные анти-эксплойт настройки, видимо, по соображениям совместимости. В автоматическом режиме это можно сделать через специальный .xml файл, содержимое которого можно найти в разделе Workarounds по этой ссылке.

    image
    be secure.
    ESET NOD32
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 5

    • UFO just landed and posted this here
      • UFO just landed and posted this here
          0
          Проверьте присутствие файла packager.dll в директории %systemroot%\system32.
          • UFO just landed and posted this here
        0
        Предлагаемый по ссылке в статье конфиг EMET
        <EMET Version="5.0.5324.31801">
          <Settings />
          <EMET_Apps>
            <AppConfig Path="*" Executable="dllhost.exe">
              <Mitigation Name="DEP" Enabled="false" />
              <Mitigation Name="SEHOP" Enabled="false" />
              <Mitigation Name="NullPage" Enabled="false" />
              <Mitigation Name="HeapSpray" Enabled="false" />
              <Mitigation Name="EAF" Enabled="false" />
              <Mitigation Name="EAF+" Enabled="false" />
              <Mitigation Name="MandatoryASLR" Enabled="false" />
              <Mitigation Name="BottomUpASLR" Enabled="false" />
              <Mitigation Name="LoadLib" Enabled="false" />
              <Mitigation Name="MemProt" Enabled="false" />
              <Mitigation Name="Caller" Enabled="false" />
              <Mitigation Name="SimExecFlow" Enabled="false" />
              <Mitigation Name="StackPivot" Enabled="false" />
              <Mitigation Name="ASR" Enabled="true">
                <asr_modules>packager.dll</asr_modules>
              </Mitigation>
            </AppConfig>
            <AppConfig Path="*\OFFICE1*" Executable="POWERPNT.EXE">
              <Mitigation Name="DEP" Enabled="true" />
              <Mitigation Name="SEHOP" Enabled="true" />
              <Mitigation Name="NullPage" Enabled="true" />
              <Mitigation Name="HeapSpray" Enabled="true" />
              <Mitigation Name="EAF" Enabled="true" />
              <Mitigation Name="EAF+" Enabled="false" />
              <Mitigation Name="MandatoryASLR" Enabled="true" />
              <Mitigation Name="BottomUpASLR" Enabled="true" />
              <Mitigation Name="LoadLib" Enabled="true" />
              <Mitigation Name="MemProt" Enabled="true" />
              <Mitigation Name="Caller" Enabled="true" />
              <Mitigation Name="SimExecFlow" Enabled="true" />
              <Mitigation Name="StackPivot" Enabled="true" />
              <Mitigation Name="ASR" Enabled="true">
                <asr_modules>flash*.ocx;packager.dll</asr_modules>
              </Mitigation>
            </AppConfig>
          </EMET_Apps>
        </EMET>
        


        отключает для dllhost.exe ряд настроек, или при импорте true на false не меняется, или эти настройки для dllhost.exe должны быть только такими?

        Only users with full accounts can post comments. Log in, please.