Microsoft неправильно исправила уязвимость, которую использовал червь Stuxnet

    Специалисты security-сообщества Zero Day Initiative (ZDI) опубликовали информацию о новой критической Remote Code Execution уязвимости в Windows (CVE-2015-0096), которую Microsoft закрыла обновлением MS15-020. Особенность этой уязвимости заключается в том, что она появилась еще в 2010 г., когда Microsoft выпустила обновление для исправления печально известной уязвимости CVE-2010-2568, позволявшей исполнять произвольный код в системе с помощью специальным образом сформированного .LNK файла (файл ярлыка).



    Эта уязвимость использовалась червем Stuxnet для своего распространения и, как теперь стало известно, на протяжении последних пяти лет после выпуска исправления, пользователи по-прежнему находились под угрозой возможной эксплуатации. Файлы типа .LNK позволяют указывать в своем теле ссылку на исполняемый PE-файл, из которого Windows может взять значок для отображения его в оболочке (Explorer).

    The vulnerability exists when Windows parses shortcuts in a way that could allow malicious code to be executed when the icon of a specially crafted shortcut is displayed. For the vulnerability to be exploited a user would have to use Windows Explorer to browse to a malicious website, remote network share, or local working directory (note that other methods of browsing to a working directory, such as via cmd.exe or powershell.exe, do NOT trigger the exploit). Additionally, the vulnerability could be exploited through USB removable drives, particularly on systems where AutoPlay has been enabled.

    Уязвимости CVE-2015-0096 (DLL Planting Remote Code Execution Vulnerability) подвержены все версии Windows, включая, новейшую Windows 8.1 и Windows 10 TP. Как видно из описания этой уязвимости, которое было сделано самой Microsoft, механизм ее эксплуатации совпадает с уязвимостью 2010 г. (CVE-2010-2568), атакующий может разместить вредоносный .LNK файл на съемном накопителе и в случае включенного механизма автозапуска исполнить вредоносную программу в системе. То же самое может относиться и к другим источникам файлов, включая, сетевое расположение, вредоносный веб-сайт.

    A remote code execution vulnerability exists when Microsoft Windows improperly handles the loading of DLL files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

    Обновление MS15-020 адресуется библиотеке Shell32.dll (KB3039066).

    Полное описание уязвимости можно найти в детальном исследовании ZDI.
    ESET NOD32
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 17

      +2
      Эпично.
      Видимо тестирование своих заплаток Microsoft плохо проводит.
        +6
        А мне кажется наоборот — проверяют очень хорошо… строго по методике проверки! ;)
          +3
          Подобный казус не единственный.
          Для примера после патча безопасности KB3013455 поломалось отображение шрифтов. Патч для него выпустили под номером KB3037639.
            0
            У меня две недели кровь из глаз сочилась пока я искал что же сломало мне шрифты.
              0
              У меня заняло примерно часа 2 — 3.
              Первоначально заметил косяк со отображением шрифтов редакторе кода в IDE PHPStrom и Android Studio и в Google Chrome. Это стало отправной точкой к поискам источника глюка. Если сменить в настройках IDE шрифт c Courier New на другой (или задать размер шрифта больше 11 например 12), то глюк исчезает. Вспомнил что не давно накатились какие-то обновления на Windows. Дальше погулил «Courier New обновление Windows» и окончательно нашел причину и решение.
        +3
        и в случае включенного механизма автозапуска исполнить вредоносную программу в системе

        Если я правильно понимаю, в случае включенного автозапуска заражение произойдёт при втыкании флэшки. Но даже если автозапуск выключен, заразиться можно, просто открыв эту флэшку в эксплорере.

        <holywar>Я так предполагаю, открыв флэшку в TotalCommander'е, можно тоже заразиться (он же иконки показывает), а вот в Far'е это будет безопасно!</holywar>
          0
          В Тотале есть опция не показывать значки.
          0
          Извините, я что-то не понял из вашей формулировки, в KB3039066 они выложили уже повторный фикс, или его еще надо ждать?
            0
            Не надо ждать он уже выложен.
            KB3039066 — это и есть повторный фикс.
            +14
              +2
              Мне кажется, что в этой статье не раскрыта суть уязвимости, в результате создаётся впечатление, что опасность в том, что иконка для ярлыка берется из ресурсов исполняемого файла. А это не так, проблема до сих пор в том, что вместо вызова LoadLibraryEx со спецальным флагом вызывается LoadLibrary.
              Доп ссылка: habrahabr.ru/post/163409/
                –4
                Жаль, что архитектура у винды такая дырявая, а нехороших людей так много.
                  +3
                  Что вы знаете про архитектуру винды? :)
                    0
                    То, что до сегодняшнего дня с момента существования windows существуют критические уязвимости в больших количествах, которые находят слишком часто для такого большого количества пользователей.
                    Учитывая тот факт, что мои сервера на linux и рабочий ноутбук на mac os за несколько лет использования не заразились вирусом, могу предположить наличие множества дырок в архитектуре win. Возможно, я неверное слово подобрал, но суть от этого не меняется, а минусы наставили те люди, которые готовы спорить «win или *nix». Я такого рода споры не поддерживаю и использую 4 операционных системы, включая windows, на этом и закончу.
                      0
                      а минусы наставили те люди, которые готовы спорить «win или *nix»

                      Минусы есть, но «спорящих» в комментариях я не вижу. Наверное вы ошибаетесь…
                  0
                  Умолчу об АНБ (но вы поняли).
                    +1
                    image

                    Only users with full accounts can post comments. Log in, please.