Уязвимость обнаружена в ядре Windows в win32k.sys и является результатом того, что вызов API NtGdiEnableEUDC не в состоянии проверить пользовательский ввод на вредоносное содержание. Хакеры могут использовать этот баг для перезаписи адресов возврата на вредоносный код, который в дальнейшем исполняется в привилегированном режиме. В результате брешь позволяет пользователям или процессам даже с ограниченными привилегиями исполнять код с повышенными правами.

Почему бы топик-ссылку не сделать просто?

Akr0ZiS Nov 26 2010 at 21:31

Я эти пару предложений не на Либератуме, а вообще на каком-то «левом» сайте увидел, если честно… Остальная информация там была представлена кошмарно, поэтому решил сделать не топик-ссылку, а написать самостоятельно более человеческим языком, просто включив в текст адекватную часть прочитанного.

noma4i Nov 26 2010 at 22:01

>Продуктами Лаборатории Касперского эксплойт детектируется как Exploit.Win32.EUDCPoC.a.
И как после этого уязвимость может называться 0-day?

choor Nov 26 2010 at 22:47

На нее нет заплатки, вот и называется «Уязвимость нулевого дня»

FractalizeR Nov 27 2010 at 00:09

А как связаны детект антивирусом и уязвимость нулевого дня?

noma4i Nov 27 2010 at 00:13

Т.к не я придумал понятие 0-day exploit, то узнавал про это здесь: en.wikipedia.org/wiki/Zero-day_exploit
А там черным по белому сказано, что наличие эксплоита в базах антивируса — уже не zero-day exploit.

FractalizeR Nov 27 2010 at 00:17

Процитируйте, пожалуйста, где такое сказано. Не могу найти

asm0dey Nov 27 2010 at 09:24

Вероятно, имеется ввиду вот это:

...threat that tries to exploit computer application vulnerabilities that are unknown to others

asm0dey Nov 27 2010 at 09:26

То есть как бы если она кому-то уже известна, эта вульнерабилити, то налицо несоответствие определению

FractalizeR Nov 28 2010 at 18:14

Ну, она всегда известна, как минимум одному лицу. А вообще она zero-day, пока для нее патча от производителя нет. Антивирусники тут ни при чем, я считаю

Akr0ZiS Nov 27 2010 at 00:26

А не подскажете конкретную строчку, из которой Вы сделали такое заключение? У меня просто с английским так себе, поэтому, возможно, я что-то пропустил или не совсем правильно понял, но про базы антивируса ничего особенного там не нашёл… А в русской версии этой статьи сказано только, что «0day-эксплоит — эксплоит для уязвимости в программе, не устранённой на момент выхода эксплоита». Зато там есть ещё одно понятие: «0day-вирус, либо вредоносная программа являются новыми, ранее неизвестными. По происхождению они не включены в сигнатуры антивирусного ПО, и и таким образом могут быть распознаны только другими способами до попадания в сигнатуры антивирусов.» Может, Вы их просто перепутали?

monoxrom Nov 26 2010 at 22:45

выход один — использовать виндовс 98

Jamon Nov 26 2010 at 22:53

Это что-то новенькое. Раньше все *nix советовали в таких случаях))

+19

segoon Nov 27 2010 at 13:17

Виндовс 9х позволяет любому процессу получить любые привилегии без всяких багов в ядре.

amarao Nov 26 2010 at 22:50

Где тег «ведро»?

gagoman Nov 26 2010 at 22:53

Видно забыли в вчерашнем топике про linux, где эту уязвимость вспоминали.

+11

seriyPS Nov 27 2010 at 17:38

Вообще должно быть «решето». Не понятно откуда «ведро» взялось

UFO just landed and posted this here

hardex Nov 26 2010 at 23:50

Походу пора доставать дискеты с DOS…

-2

undead_ekb Nov 27 2010 at 01:18

Пора качать исошники с *nix.

-1

stas_agarkov Nov 27 2010 at 00:49

а исходники есть или хотя бы бинарник?

Akr0ZiS Nov 27 2010 at 00:59

Есть и то, и другое, но я не уверен, стоит ли здесь давать ссылку…

stas_agarkov Nov 27 2010 at 01:59

ок, я уже нашел, скачал, затестил
на семерке работает на xp пишет, что не поддерживается
убрал в исходнике проверку версии — получил бсод на xp
в xp запускал c правами пользователя-администратора
выкладывать или нет нет разницы :) те кто смогут воспользоваться со злым умыслом, те и так найдут, а те кто не смогут — тем пофиг на выкладывание
плюс в соседней ветке про баг ядра линукс исходник никто выложить не постеснялся. почему?

UFO just landed and posted this here

Akr0ZiS Nov 27 2010 at 21:57

Ну ладно, пусть и тут будет чисто для «потестить» ;)
www.exploit-db.com/sploits/uacpoc.zip
Там сразу и бинарник, и исходники в архиве.

AusTiN Nov 29 2010 at 22:53

Avast ругнулся (:
Значит, не так всё страшно?..

Akr0ZiS Nov 30 2010 at 01:33

Ну, если степень опасности Вы измеряете исключительно по реакции Аваста, то да — не так страшен чёрт, ~~как его малютка~~… А вообще, немного ниже я давал ссылку на отчёт VirusTotal (23/43; 53,5%). ;)

theurs Nov 27 2010 at 06:03

если у вас включен контроль запуска программ с дефолтными настройками то программа poc.exe с рабочего стола не запустится. то есть грамотно настроенные офисные компьютеры, даже без антивирусных программ и заплаток, неуязвимы для этого страшного зверя

Akr0ZiS Nov 27 2010 at 22:03

Вы про AppLocker? Если да, то стоит учесть, что он входит в состав только «Корпоративной» и «Максимальной» редакций Windows 7, а их далеко не каждый офис может себе позволить.

theurs Nov 28 2010 at 00:36

я про политику ограниченного использования программ. есть во всех версиях кроме домашних

cheaTTer Nov 27 2010 at 08:35

Блин
так вот от чего у меня бсод время от времени и ругань на win32.sys

Akr0ZiS Nov 27 2010 at 22:08

Едва ли, если только Вы время от времени сами на себе этот эксплойт не тестите)) Он пока не был замечен в использовании злоумышленниками.

cheaTTer Nov 29 2010 at 08:18

уф, свят свят, значт показалось ))))

NightSilf Nov 27 2010 at 11:47

Незнакомые программы запускаю только на виртуальной машине.

EndUser Nov 27 2010 at 14:45

где достать poc.exe пока на этой стадии он есть безобидная, но иногда жизненно нужная в техобслуживании утилитка?

impass Nov 27 2010 at 19:54

попробуйте winAUTOPWN, для систем без свежих патчей прокатит

Akr0ZiS Nov 27 2010 at 22:11

Я выше в комментах ссылку на архив с исходниками и бинарником этого эксплойта публиковал.

DialSoft Nov 27 2010 at 22:07

Да вы что! По словам «главного чувака по безопасности майкрософт в россии» — самые дырявые ОС это линукс и макось! )) Давайте поддержим дискуссию в комментах, не оставим этому бреду права на жизнь! goo.gl/L8QhF — ссылко на блог «Microsoft для прессы».

pietrovich Nov 28 2010 at 01:16

MS Security Essentials уже реагирует на PoC как на «Exploit:Win32/Deusenc.A»
еще не заплатка, но уже хоть какие-то действия и от МС

Akr0ZiS Nov 28 2010 at 11:58

Да, это радует. На него, в принципе, уже многие реагируют.

AusTiN Nov 30 2010 at 16:08

на Windows XP SP3 не запустилось. Судя по всему, из-за этой строчки:

	if((vi.dwBuildNumber >= 6000 && !bIsWow64) || (vi.dwBuildNumber >= 7600 && bIsWow64))

а билд ХР = 2600… =\

23kid Nov 30 2010 at 23:43

эти условия только для 64 битных систем. Драйвер работает во всей линейке начиная с XP

Akr0ZiS Nov 30 2010 at 23:49

В соседнем топике про совместимость с XP говорят, что, цитирую, «данный конкретный PoC не работает, но сама уязвимость актуальна для этой платформы».

23kid Nov 30 2010 at 23:54

я сказал о драйвере. POC не работает не из-за тех строчек, что привел AusTin.

Akr0ZiS Nov 30 2010 at 23:57

А я и отвечал не Вам)) Я просто страничку открыл и начал писать ещё до того, как увидел Ваш комментарий.

Show the best of all time