LukaSafonov May 30 2019 at 11:52

Обнаружена RCE-уязвимость в приложении Блокнот Windows

1 min

8.3K

Information Security*

+31

Comments 24

powerman May 30 2019 at 12:35

Откуда вообще в блокноте RCE? Он что, лазит куда-то по сети, или сам принимает подключения по сети? Блокнот?!

DrunkBear May 30 2019 at 12:38

Думаю, дело не в блокноте, а в фреймворке, на котором блокнот.

kITerE May 30 2019 at 13:08

В оригинале ничего не говориться про Remote:

That is obviously not a bug, this is a real exploit Took me all weekend to find good CFG gadgets.
— Tavis Ormandy (@taviso) May 28, 2019

Как по мне — больше похоже на механизм локальной миграции между процессами.

paluke May 30 2019 at 12:56

Вот скриншот то он зря выложил, это ничего не доказывает. Из системного диалога открытия файла легко что угодно запустить.

FreeManOfPeace May 30 2019 at 13:02

Это не системный диалог, это из какого то диспетчера задач скриншот. И он показывает что cmd.exe является процессом запущенным notepad.exe.

loginsin May 30 2019 at 13:16

Файл -> Открыть: Любой файл (*.*), путь: %SYSTEMROOT%. Ищем там cmd.exe, Right Click, Запустить. В (каком-то) диспетчере задач будет дочерний процесс cmd.exe.

Но это не как не вяжется с

Данная уязвимость связана с повреждением памяти.

DavBD May 30 2019 at 20:56

Скриншот из Process Explorer

DrZlodberg May 30 2019 at 13:08

Если бы он ещё сказал, в каких версиях… Блокнот за годы менялся незначительно и баг может быть даже в древних версиях времён ещё живых хп.

shukan May 30 2019 at 13:29

Судя по цвету это Process Explorer от Руссиновича.

Судя по уязвимости — то Вы открываете специально подготовленный (вирусный ) текстовый файл и при этом без Вашего участия запускается cmd.exe

А теоретически, если там переполнение памяти (буфера), то можно что угодно запустить. Я лично один раз так попал, когда открыл вирусный PDF файл — при этом запустился дроппер, дроппер скачал малварь, малварь села в реестр, в итоге закончилось восстановлением винды из бэкапа, потому что ни один антивирус не увидел малварь, настолько она была свежей.

morgot May 30 2019 at 14:34

В pdf традиционно много эксплойтов, потому что формат сложный + до какой-то там древней версии можно было js скрипт встраивать в пдфку. Как и для .doc-файлов, ибо там и СОМ, и макросы, и структура такая, что можно много чего накрутить. А в текстовом формате сложно вызвать переполнение буфера, тут же нет какого-то форматирования, структур… Хотя черт его знает. Но мне просто в голове не укладывается, как такое можно сделать (если это вообще не фейк);

Текст это же просто текст, читай да выводи. Врядли Майкрософт использует какие-то strcpy и прочие опасные функции, они же в 2005 году начали внедрять разные SAL в своей студии.
В общем, ждем ~~ебилдов~~.

ormoulu May 30 2019 at 15:28

В твиттере намекают на эскалацию привилегий и системные токены. Возможно, все гораздо сложнее чем парсинг формата.

loginsin May 30 2019 at 19:54

Серьезно? Тогда бага не в блокноте, а в какой-то системной службе и тогда все гораздо печальней: любое приложение уровня пользователя может получить привилегии уровня служб.

ormoulu May 30 2019 at 19:59

Если честно, не могу придумать ничего печальнее rce в блокноте. Баг уровня легенд и анекдотов.

ormoulu May 30 2019 at 13:46

Кто-то должен был это найти рано или поздно :D Осталось научиться сохранятья в сапере.

Интересно, баг из ранних версий, или добавлен в десятке?

UFO just landed and posted this here

ormoulu May 30 2019 at 19:55

Если этому багу много лет, он появился еще в 7-xp-2000 и т.д., он аффектит системы разных версий. Если он связан с нововведениями десятки, аффектит только десятку.
В первом случае импакт шире. Я об этом.

UFO just landed and posted this here

ormoulu May 30 2019 at 20:00

Какие именно истории?

UFO just landed and posted this here

ormoulu May 30 2019 at 20:36

Хм, действительно, что-то такое припоминаю. Тем не менее, подобный баг в Блокноте, в 2019 году — это удивительно.

alan008 Jun 3 2019 at 16:19

Все-таки автор наверно имел в виду не запуск cmd.exe через блокнот, а то что он как-то с удаленного компа используя уязвимость в запущенном на компе процессе notepad.exe смог как-то запустить cmd.exe. Не работая в этом блокноте, а посылая какие-то сетевые пакеты на комп. Иначе непонятно, причем тут RCE.

ormoulu Jun 3 2019 at 16:35

Уязвимости типа «открыл документ — получил исполнение» принято относить к rce, т.к. документ можно доставить на компьютер жертвы удаленно, например прислать по электронной почте или передать web ссылку.

alan008 Jun 3 2019 at 16:54

Бред какой-то. Если бы при открытии документа в блокноте выполнялись бы автоматически какие-то команды cmd.exe, еще можно было бы это понять. А если просто запустить процесс — то чего ж в этом особенного. Если человек имеет физический доступ к компу и может запустить блокнот, то он может так же запустить и cmd.exe, но естественно со своим уровнем привилегий, не более того.
Фиговое описание, рановато для статьи.

-1

ormoulu Jun 3 2019 at 17:15

cmd.exe в данном случае используется для демонстрации, другое популярное приложение для такого рода демонстраций (poc — proof-of-concept) это calc.exe. Очевидно, что запустить cmd.exe можно и с параметрами (см. cmd /k; cmd /c ). Человек в данном случае может не просто «запустить блокнот», а открыть документ, к примеру, пришедший по электронной почте — и получить выполнение кода злоумышленника. Как правило, со своим уровнем привилегий, но есть намеки что для данной конкретной уязвимости это не так.