24-ого ноября была раскрыта 0-day уязвимость, затрагивающая все наиболее популярные ныне операционные системы семейства Windows, а именно Windows XP, Vista, 7, а также Windows Server 2008. На данный момент под ударом находятся даже системы со всеми установленными обновлениями безопасности, причём как 32-х, так и 64-х битные редакции. Технические детали уже были опубликованы на китайском форуме и привели к предположению, что скоро злоумышленники начнут вовсю использовать уязвимость.
Эксплойт использует баг в файле win32k.sys, входящем в ядро Windows, и является результатом того, что вызов API NtGdiEnableEUDC не в состоянии проверить пользовательский ввод на вредоносное содержание. Злоумышленники могут использовать этот баг для перезаписи адресов возврата на вредоносный код, который в дальнейшем исполняется в привилегированном режиме. В результате брешь позволяет пользователям или процессам даже с ограниченными привилегиями исполнять код с повышенными правами. В силу своей природы, эксплойт обходит защиту, обеспечиваемую технологией UAC (User Account Control), присутствующей в Windows Vista и Windows 7. Использование для работы учётной записи, не имеющей прав администратора, соответственно, тоже не спасает. Стоит отметить, что на данный момент эксплойт правильно срабатывает не на всех версиях ядра — в некоторых случаях наблюдается BSOD, но, вероятно, потенциальному злоумышленнику не составит труда модифицировать его для работы и на других версиях.
Продуктами Лаборатории Касперского эксплойт детектируется как Exploit.Win32.EUDCPoC.a.
Представители компании Microsoft сообщили, что они в курсе проблемы и занимаются её изучением. Данная уязвимость является уже вторым 0-day багом в продуктах Microsoft за последний месяц — ранее была обнаружена уязвимость в Internet Explorer.
продолжение с описанием и видео
Редактировался bALMER (26-11-10 23:16:22)
Слорознание - первая ступень к успешному эникею!
Неактивен
А где, собственно, ссылка на advisory от Microsoft?
Зачем?
Слорознание - первая ступень к успешному эникею!
Неактивен
Значит, кто-то обнаружил некую суперуязвимость, сказали что об этом знают в MS, но ссылки на MS почему-то ни у кого нет. Хех big_smile
а это главное?) главное, что уязвимость рабочая, а знает об этом мс или нет никого не волнует
Слорознание - первая ступень к успешному эникею!
Неактивен
вот тут хорошо описано в доке
https://docs.google.com/viewer?url=http … true&pli=1
Интеллигент боится лишь одного — касаться темы зла и его корней, потому что справедливо полагает, что здесь его могут сразу выeбaть телеграфным столбом.©
Неактивен
vold, я заметил, что на каждую новость об уязвимости в Linux постят тут же об уязвимости в Windows. Скажите, это как-то отменяет уязвимость в Linux?
похоже в этой теме мы наблюдаем обратную ситуацию
Вам, Svart Testare, я уже писал в той теме что:
1. Уязвимость в очень специфическом модуле tipc который у большинства не подгружен
2. Если у Вас внезапно есть кластер на Линуксе, то тут и тут Вы найдёте патчи
И да, раз уж начали офтопить - MS уже 24 дня не может залатать свой самый безопасный браузер - https://www.securityfocus.com/bid/44536/info, вместо нормального security update'а предлагает юзерам workaround'ы
Неактивен
Вы лично у себя на компе видели как она работает? Нет? Ну так и нех [beep]еть
Если ваши китайские друзья заявляют о том, что MS знает об уязвимости и работает над её устранением, то должна быть ссылка на соответствующий advisory. А иначе это не новость, а [beep]ня на постном масле.
Я эту хрень завтра проверю, не смотря на то, что описыватель и вправду тормознут. Если будет работать, можно попробовать заюзать. Вопрос, пардон за ламерское незнание, винапдейты на пиратках тоже пляшут? Давно не видел пиритских виндовсов, пос два года только лицензионные, а до этого своего инета небыло нормального)
Интеллигент боится лишь одного — касаться темы зла и его корней, потому что справедливо полагает, что здесь его могут сразу выeбaть телеграфным столбом.©
Неактивен
Компания Aflex Distribution сообщила об обнаружении новой уязвимости нулевого дня в ОС Windows, которая использует файл win32k.sys (критический компонент ядра Windows). В результате переполнения буфера в файле ядра у злоумышленника появляется возможность обойти контроль учетных записей Vista и Windows 7.
Как сообщается, непосредственно атаке подвергается RtlQueryRegistryValues API, используемый для получения различных значений ключей реестра с помощью таблицы запросов и имеющий EntryContext в качестве буфера вывода. Для успешного обхода защиты злоумышленник должен создать поврежденный ключ реестра или управлять ключами, доступ к которым разрешен только обычным пользователям.
По информации Aflex Distribution, демонстрация работы эксплойта и успешного обхода системы контроля учетных записей была в течение нескольких часов проведена в интернете на одном из чрезвычайно популярных программистских веб-сайтов. Она включала публикацию пошагового руководства, а также исполняемых файлов и исходного кода.
Обновление для блокировки этой уязвимости еще не выпущено, поэтому есть все основания полагать, что она будет использована вирусописателями для производства новых модификаций вирусов, полагают в Aflex Distribution. В данный момент в компании работают над созданием механизма базовой защиты, который сможет блокировать несанкционированный доступ к ядру.
Источник: https://www.securitylab.ru/news/400085.php
Ну, все таки не так гладко в Датском королевстве!
Неактивен
И, конечно же, уже со дня обнаружения (26 ноября) он не работает если на компе установлен MSE
https://www.microsoft.com/security/porta … 2147640650
Оперативненько!
А если нет авиры, MSE и ESET?
Неактивен
Ссылка на .exe с эксплойтом:
https://www.exploit-db.com/sploits/uacpoc.zipИ, конечно же, уже со дня обнаружения (26 ноября) он не работает если на компе установлен MSE
https://www.microsoft.com/security/porta … 2147640650Оперативненько!
Мда. Windows без антивируса всё ещё в интернет выпускать нельзя.
"Использование Linux относит Вас к элите. Если Вы не согласны - Вы ошибаетесь. Заткнись, нуб."
© Scott M. Morris, "Top 10 Reasons Linux pwns your OS"
Неактивен
Неактивен
nixadmin пишет:зачем блочить сплоит антивирусом?
...через MSE можно мгновенно заблокировать любую уязвимость.
"блажен кто верует" © Я бы так без оглядки на один MSE не полагался. Уже рассказывал - недавно пришлось инспектировать комп с установленным и проапдейтченным NOD32 - Авира нашла там 9 разных зловредов. NOD32 им не мешал, они ему - идилия
А демо-эксплоит лочить через MSE - это глупое занятие. Скорее пиар ход, чем блокирование уязвимости. Переписанный эксплоит будет все-равно работать.
"но в отличие от вас не стремлюсь здесь перед всеми показаться умнее всех"
"Ну здесь много мосек, что ж поделаешь."
"народ после общения со мной умнеет что ли, становится более бдительным в сети"
(с) Великий Человек
Неактивен
Мда. Windows без антивируса всё ещё в интернет выпускать нельзя.
Когда доля Виндоуз упадет ниже 1%...
Добавлено спустя 03 мин 50 с:
А демо-эксплоит лочить через MSE - это глупое занятие. Скорее пиар ход, чем блокирование уязвимости. Переписанный эксплоит будет все-равно работать.
Смотря как переписывать...
Вообще обсуждение уязвимостей-патчей - это обсуждение истории. То что подается как "0-дей" на самом деле уже произошло и уже АБСОЛЮТНО безопасно к разглашению.
An internal error occurred while showing an internal error.
Неактивен
Смотря как переписывать...
Можно даже другим компилятором просто пересобрать - другая сигнатура бинарника и MSE "отправляется на йух весело махая клешнями" ©
"но в отличие от вас не стремлюсь здесь перед всеми показаться умнее всех"
"Ну здесь много мосек, что ж поделаешь."
"народ после общения со мной умнеет что ли, становится более бдительным в сети"
(с) Великий Человек
Неактивен
Неактивен