0day уязвимость в современных ОС от Microsoft

    PoC24-ого ноября была раскрыта 0day уязвимость, затрагивающая все наиболее популярные ныне операционные системы семейства Windows, а именно Windows XP, Vista, 7, а также Windows Server 2008. На данный момент под ударом находятся даже системы со всеми установленными обновлениями безопасности, причём как 32-х, так и 64-х битные редакции. Технические детали уже были опубликованы на китайском форуме и привели к предположению, что скоро злоумышленники начнут вовсю использовать уязвимость.

    Эксплойт использует баг в файле win32k.sys, входящем в ядро Windows, и является результатом того, что вызов API NtGdiEnableEUDC не в состоянии проверить пользовательский ввод на вредоносное содержание. Злоумышленники могут использовать этот баг для перезаписи адресов возврата на вредоносный код, который в дальнейшем исполняется в привилегированном режиме. В результате брешь позволяет пользователям или процессам даже с ограниченными привилегиями исполнять код с повышенными правами. В силу своей природы, эксплойт обходит защиту, обеспечиваемую технологией UAC (User Account Control), присутствующей в Windows Vista и Windows 7. Использование для работы учётной записи, не имеющей прав администратора, соответственно, тоже не спасает. Стоит отметить, что на данный момент эксплойт правильно срабатывает не на всех версиях ядра — в некоторых случаях наблюдается BSOD, но, вероятно, потенциальному злоумышленнику не составит труда модифицировать его для работы и на других версиях.
    Продуктами Лаборатории Касперского эксплойт детектируется как Exploit.Win32.EUDCPoC.a.

    Представители компании Microsoft сообщили, что они в курсе проблемы и занимаются её изучением. Данная уязвимость является уже вторым 0day багом в продуктах Microsoft за последний месяц — ранее была обнаружена уязвимость в Internet Explorer.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 50

      –13
      >poc
      эй, поц!
      • НЛО прилетело и опубликовало эту надпись здесь
        0
        Вроде было. Или я это не тут читал?
          +1
          Видимо таки не здесь…
            +2
            Ну да… Это rewrite с Либератума:

            Вот цитата оттуда:
            Уязвимость обнаружена в ядре Windows в win32k.sys и является результатом того, что вызов API NtGdiEnableEUDC не в состоянии проверить пользовательский ввод на вредоносное содержание. Хакеры могут использовать этот баг для перезаписи адресов возврата на вредоносный код, который в дальнейшем исполняется в привилегированном режиме. В результате брешь позволяет пользователям или процессам даже с ограниченными привилегиями исполнять код с повышенными правами.


            Почему бы топик-ссылку не сделать просто?
              +3
              Я эти пару предложений не на Либератуме, а вообще на каком-то «левом» сайте увидел, если честно… Остальная информация там была представлена кошмарно, поэтому решил сделать не топик-ссылку, а написать самостоятельно более человеческим языком, просто включив в текст адекватную часть прочитанного.
          0
          >Продуктами Лаборатории Касперского эксплойт детектируется как Exploit.Win32.EUDCPoC.a.
          И как после этого уязвимость может называться 0-day?
            +4
            На нее нет заплатки, вот и называется «Уязвимость нулевого дня»
              +1
              А как связаны детект антивирусом и уязвимость нулевого дня?
                0
                Т.к не я придумал понятие 0-day exploit, то узнавал про это здесь: en.wikipedia.org/wiki/Zero-day_exploit
                А там черным по белому сказано, что наличие эксплоита в базах антивируса — уже не zero-day exploit.
                  0
                  Процитируйте, пожалуйста, где такое сказано. Не могу найти
                    +1
                    Вероятно, имеется ввиду вот это:
                    ...threat that tries to exploit computer application vulnerabilities that are unknown to others
                      +1
                      То есть как бы если она кому-то уже известна, эта вульнерабилити, то налицо несоответствие определению
                        +1
                        Ну, она всегда известна, как минимум одному лицу. А вообще она zero-day, пока для нее патча от производителя нет. Антивирусники тут ни при чем, я считаю
                      +2
                      А не подскажете конкретную строчку, из которой Вы сделали такое заключение? У меня просто с английским так себе, поэтому, возможно, я что-то пропустил или не совсем правильно понял, но про базы антивируса ничего особенного там не нашёл… А в русской версии этой статьи сказано только, что «0day-эксплоит — эксплоит для уязвимости в программе, не устранённой на момент выхода эксплоита». Зато там есть ещё одно понятие: «0day-вирус, либо вредоносная программа являются новыми, ранее неизвестными. По происхождению они не включены в сигнатуры антивирусного ПО, и и таким образом могут быть распознаны только другими способами до попадания в сигнатуры антивирусов.» Может, Вы их просто перепутали?
                  +1
                  выход один — использовать виндовс 98
                    +19
                    Это что-то новенькое. Раньше все *nix советовали в таких случаях))
                      +6
                      Виндовс 9х позволяет любому процессу получить любые привилегии без всяких багов в ядре.
                      0
                      Где тег «ведро»?
                        +11
                        Видно забыли в вчерашнем топике про linux, где эту уязвимость вспоминали.
                          +2
                          Вообще должно быть «решето». Не понятно откуда «ведро» взялось
                          0
                          Мы все умрем?
                          • НЛО прилетело и опубликовало эту надпись здесь
                            –2
                            Походу пора доставать дискеты с DOS…
                              –1
                              Пора качать исошники с *nix.
                              0
                              а исходники есть или хотя бы бинарник?
                                +2
                                Есть и то, и другое, но я не уверен, стоит ли здесь давать ссылку…
                                  +2
                                  ок, я уже нашел, скачал, затестил
                                  на семерке работает на xp пишет, что не поддерживается
                                  убрал в исходнике проверку версии — получил бсод на xp
                                  в xp запускал c правами пользователя-администратора
                                  выкладывать или нет нет разницы :) те кто смогут воспользоваться со злым умыслом, те и так найдут, а те кто не смогут — тем пофиг на выкладывание
                                  плюс в соседней ветке про баг ядра линукс исходник никто выложить не постеснялся. почему?
                                    +1
                                    Ну, там надо было потестить
                                      +2
                                      Ну ладно, пусть и тут будет чисто для «потестить» ;)
                                      www.exploit-db.com/sploits/uacpoc.zip
                                      Там сразу и бинарник, и исходники в архиве.
                                        0
                                        Avast ругнулся (:
                                        Значит, не так всё страшно?..
                                          +1
                                          Ну, если степень опасности Вы измеряете исключительно по реакции Аваста, то да — не так страшен чёрт, как его малютка… А вообще, немного ниже я давал ссылку на отчёт VirusTotal (23/43; 53,5%). ;)
                                +2
                                если у вас включен контроль запуска программ с дефолтными настройками то программа poc.exe с рабочего стола не запустится. то есть грамотно настроенные офисные компьютеры, даже без антивирусных программ и заплаток, неуязвимы для этого страшного зверя

                                  +1
                                  Вы про AppLocker? Если да, то стоит учесть, что он входит в состав только «Корпоративной» и «Максимальной» редакций Windows 7, а их далеко не каждый офис может себе позволить.
                                    +1
                                    я про политику ограниченного использования программ. есть во всех версиях кроме домашних
                                  0
                                  Блин
                                  так вот от чего у меня бсод время от времени и ругань на win32.sys
                                    +1
                                    Едва ли, если только Вы время от времени сами на себе этот эксплойт не тестите)) Он пока не был замечен в использовании злоумышленниками.
                                      0
                                      уф, свят свят, значт показалось ))))
                                    0
                                    Незнакомые программы запускаю только на виртуальной машине.
                                      +1
                                      где достать poc.exe пока на этой стадии он есть безобидная, но иногда жизненно нужная в техобслуживании утилитка?
                                        +1
                                        попробуйте winAUTOPWN, для систем без свежих патчей прокатит
                                          +2
                                          Я выше в комментах ссылку на архив с исходниками и бинарником этого эксплойта публиковал.
                                          +1
                                          Да вы что! По словам «главного чувака по безопасности майкрософт в россии» — самые дырявые ОС это линукс и макось! )) Давайте поддержим дискуссию в комментах, не оставим этому бреду права на жизнь! goo.gl/L8QhF — ссылко на блог «Microsoft для прессы».
                                            +1
                                            MS Security Essentials уже реагирует на PoC как на «Exploit:Win32/Deusenc.A»
                                            еще не заплатка, но уже хоть какие-то действия и от МС
                                            0
                                            на Windows XP SP3 не запустилось. Судя по всему, из-за этой строчки:

                                            	if((vi.dwBuildNumber >= 6000 && !bIsWow64) || (vi.dwBuildNumber >= 7600 && bIsWow64))
                                            


                                            а билд ХР = 2600… =\
                                              +1
                                              эти условия только для 64 битных систем. Драйвер работает во всей линейке начиная с XP
                                                +1
                                                В соседнем топике про совместимость с XP говорят, что, цитирую, «данный конкретный PoC не работает, но сама уязвимость актуальна для этой платформы».
                                                  0
                                                  я сказал о драйвере. POC не работает не из-за тех строчек, что привел AusTin.
                                                    +1
                                                    А я и отвечал не Вам)) Я просто страничку открыл и начал писать ещё до того, как увидел Ваш комментарий.

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое