Комментарии 35
Такая тишина потому что все POC побежали искать?
как я понимаю, чтобы установить inf, нужно обладать правами суперпользователя. Тут это обходится, или рассчитано на тех, кто выключает uac?
> В обоих случаях целями становятся страны НАТО.
Желтизна.
Желтизна.
В чем желтизна? Жертвами этих групп становились страны восточной Европы, включая, Польшу. Все они входят в блок НАТО. Содержание документов также относилось к блоку. Ссылки на ресерч даны.
Из оригинальной статьи
Судя по этой информации, не все так однозначно. Ну и западной европе тоже досталось.
Visible targets:
- NATO
- Ukrainian government organizations
- Western European government organization
- Energy Sector firms (specifically in Poland)
- European telecommunications firms
- United States academic organization
Судя по этой информации, не все так однозначно. Ну и западной европе тоже досталось.
Выше уже отписали. От себя добавлю, что ссылаясь на военно-политический блок(а не, например, на географическое положение) необходимо указывать причины подобных ссылок. Создается ощущение, что атака — действия спецслужб противника, а подобные заявления без доказательств лучше не делать, т.к. в этом и заключается желтизна.
Через пару дней будут подробности, тогда уже можно будет говорить точнее.
Через пару дней будут подробности, тогда уже можно будет говорить точнее.
Ничего не написано про способ заражения.
документ PowerPoint должен быть скачан?
документ PowerPoint должен быть скачан?
всё что выходило под MS Office — обязательно к скачиванию и выполнению. В основном документы получаются невалидные, редко валидные и пользователь ничего не видит.
В любом случае мсофис есть «у всех» и уязвимость критическая — тут в НАТО, конечно, не пошлёшь, но конкуренты могут манагерам прислать «благодарственных писем»
В любом случае мсофис есть «у всех» и уязвимость критическая — тут в НАТО, конечно, не пошлёшь, но конкуренты могут манагерам прислать «благодарственных писем»
Как это соотносится с UAC? Он должен быть обязательно выключен, а пользователь должен обладать административными привилегиями?
погуглите на тему UAC Bypass / Обход uac
Спасибо. Этот дроппер реализует уязвимость Bypass UAC?
А если сидеть под юзером, а на админе пароль?
UAC от безисходности глупости для тех кто сидит всегда под админом.
тег S Зачеркивание не работает (если между скобкой и s ставить пробел то работает )
UAC от безисходности
тег S Зачеркивание не работает (если между скобкой и s ставить пробел то работает )
А есть способы обхода, еще не покрытые патчами? Просветите, пожалуйста, если в курсе.
Я думал, подобные вещи публикуют после того, как выпустят исправляющий патч.
А в особых случаях — для того, чтобы в компании кто-то получил пинок под зад и выпустил патч быстрее.
Если уже эксплуатируется in the wild, много ли разницы?
Сегодня должен был быть патч. Да и proof of concept не выложили.
pastebin.com/rfYAdRrF а в это время кто-то анализирует
spiskideputatov =)
spiskideputatov =)
Интересно, почему в списке уязвимостей — версии Windows, и ничего про версии MS Office? Уязвимы все начиная с Office 95?
Судя по всему используется pptx — значит версии начиная с 2007. Под 2003 есть пакет конвертеров, но я сомневаюсь в том что он уязвим
Есть мнение, что ooxml — это буквальный перевод старого формата в xml, по сути — другой способ сериализации того же самого. То есть, что можно выразить в старом формате, можно и в новом, обратное тоже верно.
Если это правда, то должен быть способ построить и уязвимый ppt-документ в старом формате. В общем, чуть ниже уже прояснили — речь про обработку событий OLE, а ему сто лет в обед, первая версия датируется 1990-м, а фишка с действиями связана по-видимому с OLE Automation, которое появилось в 1994-м — как раз тогда, когда и разрабатывался office 95, и значит, он и должен быть первым офисом, который уязвим.
Но всё-таки винда по-любому должна спрашивать разрешения на установку. Я считаю, что ошибка в безопасности винды, а не в офисе, которому что сказали — он и делает.
Если это правда, то должен быть способ построить и уязвимый ppt-документ в старом формате. В общем, чуть ниже уже прояснили — речь про обработку событий OLE, а ему сто лет в обед, первая версия датируется 1990-м, а фишка с действиями связана по-видимому с OLE Automation, которое появилось в 1994-м — как раз тогда, когда и разрабатывался office 95, и значит, он и должен быть первым офисом, который уязвим.
Но всё-таки винда по-любому должна спрашивать разрешения на установку. Я считаю, что ошибка в безопасности винды, а не в офисе, которому что сказали — он и делает.
Интересно, если .inf убран из списка исполняемых форматов (gpedit.msc -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Назначенные типы файлов), сработает ли эксплоит?
И куда скачивается файл? Если выполнение в *temp* запрещено, спасет ли это?
С момента опубликования поста о настройке групповых политик взял за привычку ограничивать область выполнения, спасало немало раз, но интересно было бы раздобыть такое «письмо счастья» и на виртуалке проверить.
И куда скачивается файл? Если выполнение в *temp* запрещено, спасет ли это?
С момента опубликования поста о настройке групповых политик взял за привычку ограничивать область выполнения, спасало немало раз, но интересно было бы раздобыть такое «письмо счастья» и на виртуалке проверить.
На самом деле, как я понял уязвимость не PowerPoint связана. PP — лиь одна из возможных реализаций, кои можно множество придумать. Уязвимость — в самом движке OLE и атака может осуществляться через любой OLE-объект. И совершенно не факт, что запрет запуска INF-файлом поможет.
Я не претендую ни на что, но по всей видимости ошибка в обработке действий над OLE-объектом
вот тут имеется только активировать объект и переименовать его
Я немного поковырялся =) и нашёл таки параметр отвечающий за действие
0 открытие
1 переименование
2 хз
3 установка
4 печать
5 хз
6 открыть с помощью
7 падает
8 хз
9 падает
10 диалог создания архива
11 автоматическое создание архива
12 диалог архива и на мыло
13 архим автоматом и на мыло
соответственно можно не просто открыть INF в блокноте, но и установить его практически без лишних вопросов.
по всей видимости, действия перебираются из контекстного меню
Правда, у меня алерт возник — ругается на то что файлик был сохранен из интернета (уж не знаю почему)
Сейчас 3 часа ночи, интереса у меня уже нет, а знаний начинает хватать всё меньше
вот тут имеется только активировать объект и переименовать его
Я немного поковырялся =) и нашёл таки параметр отвечающий за действие
0 открытие
1 переименование
2 хз
3 установка
4 печать
5 хз
6 открыть с помощью
7 падает
8 хз
9 падает
10 диалог создания архива
11 автоматическое создание архива
12 диалог архива и на мыло
13 архим автоматом и на мыло
соответственно можно не просто открыть INF в блокноте, но и установить его практически без лишних вопросов.
по всей видимости, действия перебираются из контекстного меню
Правда, у меня алерт возник — ругается на то что файлик был сохранен из интернета (уж не знаю почему)
Сейчас 3 часа ночи, интереса у меня уже нет, а знаний начинает хватать всё меньше
и да, вот мой недоPOC yadi.sk/i/USOSar1ic2djQ
кстати вот — оригинальный yadi.sk/d/DcL6td2rc2dsL — на свой страх и риск
Текст в презентации на скриншоте на русском. Ориентация атаки на русскоязычную аудиторию?
cледы которой ведут в Россию
А доказательства есть?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новая 0day уязвимость в Windows эксплуатируется in-the-wild