Akr0ZiS26 ноя 2010 в 17:50

0day уязвимость в современных ОС от Microsoft

2 мин

3.9K

Информационная безопасность *

+69

Комментарии 50

danilissimus 26 ноя 2010 в 18:07

>poc
эй, поц!

НЛО прилетело и опубликовало эту надпись здесь

silvergh0st 26 ноя 2010 в 18:08

Вроде было. Или я это не тут читал?

silvergh0st 26 ноя 2010 в 18:09

Видимо таки не здесь…

silvergh0st 26 ноя 2010 в 18:12

Ну да… Это rewrite с Либератума:

Вот цитата оттуда:

Уязвимость обнаружена в ядре Windows в win32k.sys и является результатом того, что вызов API NtGdiEnableEUDC не в состоянии проверить пользовательский ввод на вредоносное содержание. Хакеры могут использовать этот баг для перезаписи адресов возврата на вредоносный код, который в дальнейшем исполняется в привилегированном режиме. В результате брешь позволяет пользователям или процессам даже с ограниченными привилегиями исполнять код с повышенными правами.

Почему бы топик-ссылку не сделать просто?

Akr0ZiS 26 ноя 2010 в 18:31

Я эти пару предложений не на Либератуме, а вообще на каком-то «левом» сайте увидел, если честно… Остальная информация там была представлена кошмарно, поэтому решил сделать не топик-ссылку, а написать самостоятельно более человеческим языком, просто включив в текст адекватную часть прочитанного.

noma4i 26 ноя 2010 в 19:01

>Продуктами Лаборатории Касперского эксплойт детектируется как Exploit.Win32.EUDCPoC.a.
И как после этого уязвимость может называться 0-day?

choor 26 ноя 2010 в 19:47

На нее нет заплатки, вот и называется «Уязвимость нулевого дня»

FractalizeR 26 ноя 2010 в 21:09

А как связаны детект антивирусом и уязвимость нулевого дня?

noma4i 26 ноя 2010 в 21:13

Т.к не я придумал понятие 0-day exploit, то узнавал про это здесь: en.wikipedia.org/wiki/Zero-day_exploit
А там черным по белому сказано, что наличие эксплоита в базах антивируса — уже не zero-day exploit.

FractalizeR 26 ноя 2010 в 21:17

Процитируйте, пожалуйста, где такое сказано. Не могу найти

asm0dey 27 ноя 2010 в 06:24

Вероятно, имеется ввиду вот это:

...threat that tries to exploit computer application vulnerabilities that are unknown to others

asm0dey 27 ноя 2010 в 06:26

То есть как бы если она кому-то уже известна, эта вульнерабилити, то налицо несоответствие определению

FractalizeR 28 ноя 2010 в 15:14

Ну, она всегда известна, как минимум одному лицу. А вообще она zero-day, пока для нее патча от производителя нет. Антивирусники тут ни при чем, я считаю

Akr0ZiS 26 ноя 2010 в 21:26

А не подскажете конкретную строчку, из которой Вы сделали такое заключение? У меня просто с английским так себе, поэтому, возможно, я что-то пропустил или не совсем правильно понял, но про базы антивируса ничего особенного там не нашёл… А в русской версии этой статьи сказано только, что «0day-эксплоит — эксплоит для уязвимости в программе, не устранённой на момент выхода эксплоита». Зато там есть ещё одно понятие: «0day-вирус, либо вредоносная программа являются новыми, ранее неизвестными. По происхождению они не включены в сигнатуры антивирусного ПО, и и таким образом могут быть распознаны только другими способами до попадания в сигнатуры антивирусов.» Может, Вы их просто перепутали?

monoxrom 26 ноя 2010 в 19:45

выход один — использовать виндовс 98

Jamon 26 ноя 2010 в 19:53

Это что-то новенькое. Раньше все *nix советовали в таких случаях))

segoon 27 ноя 2010 в 10:17

Виндовс 9х позволяет любому процессу получить любые привилегии без всяких багов в ядре.

amarao 26 ноя 2010 в 19:50

Где тег «ведро»?

gagoman 26 ноя 2010 в 19:53

Видно забыли в вчерашнем топике про linux, где эту уязвимость вспоминали.

seriyPS 27 ноя 2010 в 14:38

Вообще должно быть «решето». Не понятно откуда «ведро» взялось

НЛО прилетело и опубликовало эту надпись здесь

hardex 26 ноя 2010 в 20:50

Походу пора доставать дискеты с DOS…

undead_ekb 26 ноя 2010 в 22:18

Пора качать исошники с *nix.

stas_agarkov 26 ноя 2010 в 21:49

а исходники есть или хотя бы бинарник?

Akr0ZiS 26 ноя 2010 в 21:59

Есть и то, и другое, но я не уверен, стоит ли здесь давать ссылку…

stas_agarkov 26 ноя 2010 в 22:59

ок, я уже нашел, скачал, затестил
на семерке работает на xp пишет, что не поддерживается
убрал в исходнике проверку версии — получил бсод на xp
в xp запускал c правами пользователя-администратора
выкладывать или нет нет разницы :) те кто смогут воспользоваться со злым умыслом, те и так найдут, а те кто не смогут — тем пофиг на выкладывание
плюс в соседней ветке про баг ядра линукс исходник никто выложить не постеснялся. почему?

НЛО прилетело и опубликовало эту надпись здесь

Akr0ZiS 27 ноя 2010 в 18:57

Ну ладно, пусть и тут будет чисто для «потестить» ;)
www.exploit-db.com/sploits/uacpoc.zip
Там сразу и бинарник, и исходники в архиве.

AusTiN 29 ноя 2010 в 19:53

Avast ругнулся (:
Значит, не так всё страшно?..

Akr0ZiS 29 ноя 2010 в 22:33

Ну, если степень опасности Вы измеряете исключительно по реакции Аваста, то да — не так страшен чёрт, ~~как его малютка~~… А вообще, немного ниже я давал ссылку на отчёт VirusTotal (23/43; 53,5%). ;)

НЛО прилетело и опубликовало эту надпись здесь

Akr0ZiS 27 ноя 2010 в 19:03

Вы про AppLocker? Если да, то стоит учесть, что он входит в состав только «Корпоративной» и «Максимальной» редакций Windows 7, а их далеко не каждый офис может себе позволить.

НЛО прилетело и опубликовало эту надпись здесь

cheaTTer 27 ноя 2010 в 05:35

Блин
так вот от чего у меня бсод время от времени и ругань на win32.sys

Akr0ZiS 27 ноя 2010 в 19:08

Едва ли, если только Вы время от времени сами на себе этот эксплойт не тестите)) Он пока не был замечен в использовании злоумышленниками.

cheaTTer 29 ноя 2010 в 05:18

уф, свят свят, значт показалось ))))

NightSilf 27 ноя 2010 в 08:47

Незнакомые программы запускаю только на виртуальной машине.

EndUser 27 ноя 2010 в 11:45

где достать poc.exe пока на этой стадии он есть безобидная, но иногда жизненно нужная в техобслуживании утилитка?

impass 27 ноя 2010 в 16:54

попробуйте winAUTOPWN, для систем без свежих патчей прокатит

Akr0ZiS 27 ноя 2010 в 19:11

Я выше в комментах ссылку на архив с исходниками и бинарником этого эксплойта публиковал.

DialSoft 27 ноя 2010 в 19:07

Да вы что! По словам «главного чувака по безопасности майкрософт в россии» — самые дырявые ОС это линукс и макось! )) Давайте поддержим дискуссию в комментах, не оставим этому бреду права на жизнь! goo.gl/L8QhF — ссылко на блог «Microsoft для прессы».

pietrovich 27 ноя 2010 в 22:16

MS Security Essentials уже реагирует на PoC как на «Exploit:Win32/Deusenc.A»
еще не заплатка, но уже хоть какие-то действия и от МС

Akr0ZiS 28 ноя 2010 в 08:58

Да, это радует. На него, в принципе, уже многие реагируют.

AusTiN 30 ноя 2010 в 13:08

на Windows XP SP3 не запустилось. Судя по всему, из-за этой строчки:

	if((vi.dwBuildNumber >= 6000 && !bIsWow64) || (vi.dwBuildNumber >= 7600 && bIsWow64))

а билд ХР = 2600… =\

23kid 30 ноя 2010 в 20:43

эти условия только для 64 битных систем. Драйвер работает во всей линейке начиная с XP

Akr0ZiS 30 ноя 2010 в 20:49

В соседнем топике про совместимость с XP говорят, что, цитирую, «данный конкретный PoC не работает, но сама уязвимость актуальна для этой платформы».

23kid 30 ноя 2010 в 20:54

я сказал о драйвере. POC не работает не из-за тех строчек, что привел AusTin.

Akr0ZiS 30 ноя 2010 в 20:57

А я и отвечал не Вам)) Я просто страничку открыл и начал писать ещё до того, как увидел Ваш комментарий.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий