Злоумышленники активно эксплуатируют новую уязвимость в Windows

    Компания Microsoft выпустила security-обновление MS15-085, которое закрывает опасную LPE уязвимость CVE-2015-1769 (Mount Manager Elevation of Privilege Vulnerability). Уязвимость присутствует на клиентских и серверных версиях Windows, начиная с Windows Vista, и заканчивая Windows 10. Она относится к типу Stuxnet-like-уязвимостей и срабатывает при подключении к компьютеру съемного диска. Для эксплуатации, в корне съемного диска должны быть расположены специальным образом сформированный файл или файлы (symbolic links).



    Обновлению подлежат значительное количество системных файлов Windows (Windows 8.1+), включая, драйвер монтирования дисков и ядро ОС: Mountmgr.sys, Ntdll.dll, Ntoskrnl.exe. Уязвимость позволяет атакующим запускать свой код с носителя, причем с системными привилегиями SYSTEM. Видимо, обновлению не присвоен уровень серьезности Critical лишь потому, что эксплуатация может быть выполнена только за счет физического доступа к ПК, т. е. с использованием съемного носителя.

    Оригинальная уязвимость Stuxnet, которая была закрыта MS10-046, относилась к типу Remote Code Execution (RCE), поскольку уязвимый системный компонент Windows (Shell) позволял атакующим исполнять свой код из самых разных мест, включая, удаленные. Новая же уязвимость в MountMgr может быть использована только в случаях локальной эксплуатации, т. е. только через подключение съемного носителя к системе.

    An elevation of privilege vulnerability exists when the Mount Manager component improperly processes symbolic links. An attacker who successfully exploited this vulnerability could write a malicious binary to disk and execute it.

    To exploit the vulnerability, an attacker would have insert a malicious USB device into a target system. The security update addresses this vulnerability by removing the vulnerable code from the component.

    Уязвимость эксплуатируется in-the-wild, см. technet.microsoft.com/library/security/ms15-aug.

    Мы рекомендуем пользователям Windows установить соответствующее обновление. Данное обновление уже было доставлено пользователям Windows 10 ранее, в рамках KB3081436 (Cumulative update for Windows 10: August 11, 2015).

    image
    be secure.
    ESET NOD32
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 10

      0
      Очень интересная уязвимость. Теперь бояться вражеских флешек стоит в 10 раз сильнее?
      technet.microsoft.com/library/security/ms15-aug.

      Ссылка редиректит на technet.microsoft.com/en-us/library
        +1
        Сарказм веселый, но очень опасно, ведь через флэшки можно размножить ботнет, куда браузерные эксплойты не добрались можно случайно через флэху занести.
        0
        Я правильно понял, что такой славный помощник с борьбе с эксплоитами, как EMET, в данной ситуации бессилен?
          0
          Похоже так ибо судя по описанию уязвимость носит логический характер в реализации (несоответствие спецификациям или аналогичное), т.е. используются стандартные способы работы с API без дополнительных хаков, однако предположу, что SRP по идее должен помочь при условии если стоит запрет запуска чего либо со съёмных носителей, но я не уверен ибо упоминаются симлинки.
          +2
          New generation of autoexec.[bat|cmd|exe]?
            +5
            А есть подробное описание как работает?
              0
              Тоже стало интересно, покопался в сети и никаких подробностей не нашел. Наверное, в открытом (бесплатном) доступе подробностей еще нет.
              0
              Пытаюсь найти ссылки на standalone апдейты для 7 и XP и не могу.

              For Security Update Deployment information, see the Microsoft Knowledge Base article referenced here in the Executive Summary.

              Идем по ссылке:
              Click the download link in Microsoft Security Bulletin MS15-085 that corresponds to the version of Windows that you are running.

              Замкнутый круг.
                0
                По ссылке из вашего второго абзаца (https://technet.microsoft.com/library/security/MS15-085) в разделе Affected Software как раз ссылки на файлы обновлений и опубликованы. Windows XP больше не поддерживается и публично исправлений для неё не выпускается.
                0
                Сегодня прилетел этот апдейт на win7 причем система предложила безальтернативную перезагрузку, кнопка «отложить» была неактивна, впервые с таким сталкиваюсь, у кого то было также?

                Only users with full accounts can post comments. Log in, please.