Уязвимость Windows в win32k.sys

bALMER · 26-11-10 22:13:29

24-ого ноября была раскрыта 0-day уязвимость, затрагивающая все наиболее популярные ныне операционные системы семейства Windows, а именно Windows XP, Vista, 7, а также Windows Server 2008. На данный момент под ударом находятся даже системы со всеми установленными обновлениями безопасности, причём как 32-х, так и 64-х битные редакции. Технические детали уже были опубликованы на китайском форуме и привели к предположению, что скоро злоумышленники начнут вовсю использовать уязвимость.

Эксплойт использует баг в файле win32k.sys, входящем в ядро Windows, и является результатом того, что вызов API NtGdiEnableEUDC не в состоянии проверить пользовательский ввод на вредоносное содержание. Злоумышленники могут использовать этот баг для перезаписи адресов возврата на вредоносный код, который в дальнейшем исполняется в привилегированном режиме. В результате брешь позволяет пользователям или процессам даже с ограниченными привилегиями исполнять код с повышенными правами. В силу своей природы, эксплойт обходит защиту, обеспечиваемую технологией UAC (User Account Control), присутствующей в Windows Vista и Windows 7. Использование для работы учётной записи, не имеющей прав администратора, соответственно, тоже не спасает. Стоит отметить, что на данный момент эксплойт правильно срабатывает не на всех версиях ядра — в некоторых случаях наблюдается BSOD, но, вероятно, потенциальному злоумышленнику не составит труда модифицировать его для работы и на других версиях.
Продуктами Лаборатории Касперского эксплойт детектируется как Exploit.Win32.EUDCPoC.a.

Представители компании Microsoft сообщили, что они в курсе проблемы и занимаются её изучением. Данная уязвимость является уже вторым 0-day багом в продуктах Microsoft за последний месяц — ранее была обнаружена уязвимость в Internet Explorer.

источник

продолжение с описанием и видео

Отредактировано bALMER (26-11-10 22:16:22)

Svart Testare · 26-11-10 23:54:35

А где, собственно, ссылка на advisory от Microsoft? А то «китайский форум, китайский форум»…

bALMER · 27-11-10 00:10:11

Svart Testare пишет:

А где, собственно, ссылка на advisory от Microsoft?

Зачем?

Svart Testare · 27-11-10 00:16:07

bALMER пишет:

Зачем?

Значит, кто-то обнаружил некую суперуязвимость, сказали что об этом знают в MS, но ссылки на MS почему-то ни у кого нет. Хех big_smile

bALMER · 27-11-10 00:24:21

Svart Testare пишет:

Значит, кто-то обнаружил некую суперуязвимость, сказали что об этом знают в MS, но ссылки на MS почему-то ни у кого нет. Хех big_smile

а это главное?) главное, что уязвимость рабочая, а знает об этом мс или нет никого не волнует wink

Lord_Evil · 27-11-10 04:38:56

вот тут хорошо описано в доке
https://docs.google.com/viewer?url=http://www.pentestit.com/wp-content/uploads/2010/11/Bypass_UAC.pdf&embedded=true&chrome=true&pli=1

Svart Testare · 27-11-10 04:54:45

bALMER пишет:

главное, что уязвимость рабочая, а знает об этом мс или нет никого не волнует

Вы лично у себя на компе видели как она работает? Нет? Ну так и нех [beep]еть smile
Если ваши китайские друзья заявляют о том, что MS знает об уязвимости и работает над её устранением, то должна быть ссылка на соответствующий advisory. А иначе это не новость, а [beep]ня на постном масле.

Добавлено спустя 02 мин 54 с:

Gentoo пишет:

вот тут хорошо описано в доке

«Описыватель» называет битность Windows как x32 — это ад и [beep]ец. Дальше можно не читать.
И что такое Windows 7 6.2.7600 — одному Биллу Гейтсу, наверное, известно.

Добавлено спустя 16 мин 43 с:
Обновление!

При попытке скачать PoC по ссылке с LOR, MSE пресекает это smile
www.microsoft.com/security/portal/Threa … 2147640650

Яркое доказательство исключительности этого прекрасного, бесплатного антивируса.

Ещё одно обновление — теперь специально для беспокойных линуксдетей smile
9 ноября в теме про Design Errors в линуксе я приводил список уязвимостей, которые прекрасно жили и до сих пор живут. Так вот, самая древняя из них сегодня празднует свои прекрасные 36 дней lol
www.securityfocus.com/bid/44354
Что характерно, эта дыра благополучно перешла из ядра 2.6.36 в 2.6.37 — то есть, никто ничего не чинит, потому что ВСЕМ НА ВСЁ НАСРАТЬ wink

nixadmin · 27-11-10 08:45:13

Svart Testare пишет:

www.securityfocus.com/bid/44354

Руслан Некарманов на главной пишет:

vold, я заметил, что на каждую новость об уязвимости в Linux постят тут же об уязвимости в Windows. Скажите, это как-то отменяет уязвимость в Linux?

похоже в этой теме мы наблюдаем обратную ситуацию smile

Вам, Svart Testare, я уже писал в той теме что:
1. Уязвимость в очень специфическом модуле tipc который у большинства не подгружен
2. Если у Вас внезапно есть кластер на Линуксе, то тут и тут Вы найдёте патчи smile

И да, раз уж начали офтопить - MS уже 24 дня не может залатать свой самый безопасный браузер - www.securityfocus.com/bid/44536/info, вместо нормального security update'а предлагает юзерам workaround'ы smile

Lord_Evil · 27-11-10 10:02:28

Svart Testare пишет:

Вы лично у себя на компе видели как она работает? Нет? Ну так и нех [beep]еть
Если ваши китайские друзья заявляют о том, что MS знает об уязвимости и работает над её устранением, то должна быть ссылка на соответствующий advisory. А иначе это не новость, а [beep]ня на постном масле.

Я эту хрень завтра проверю, не смотря на то, что описыватель и вправду тормознут. Если будет работать, можно попробовать заюзать. Вопрос, пардон за ламерское незнание, винапдейты на пиратках тоже пляшут? Давно не видел пиритских виндовсов, пос два года только лицензионные, а до этого своего инета небыло нормального)

Rorschach · 09-12-10 12:39:59

Компания Aflex Distribution сообщила об обнаружении новой уязвимости нулевого дня в ОС Windows, которая использует файл win32k.sys (критический компонент ядра Windows). В результате переполнения буфера в файле ядра у злоумышленника появляется возможность обойти контроль учетных записей Vista и Windows 7.

Как сообщается, непосредственно атаке подвергается RtlQueryRegistryValues API, используемый для получения различных значений ключей реестра с помощью таблицы запросов и имеющий EntryContext в качестве буфера вывода. Для успешного обхода защиты злоумышленник должен создать поврежденный ключ реестра или управлять ключами, доступ к которым разрешен только обычным пользователям.

По информации Aflex Distribution, демонстрация работы эксплойта и успешного обхода системы контроля учетных записей была в течение нескольких часов проведена в интернете на одном из чрезвычайно популярных программистских веб-сайтов. Она включала публикацию пошагового руководства, а также исполняемых файлов и исходного кода.

Обновление для блокировки этой уязвимости еще не выпущено, поэтому есть все основания полагать, что она будет использована вирусописателями для производства новых модификаций вирусов, полагают в Aflex Distribution. В данный момент в компании работают над созданием механизма базовой защиты, который сможет блокировать несанкционированный доступ к ядру.

Источник: www.securitylab.ru/news/400085.php

Ну, все таки не так гладко в Датском королевстве!

Svart Testare · 09-12-10 12:53:50

Ссылка на .exe с эксплойтом:
www.exploit-db.com/sploits/uacpoc.zip

И, конечно же, уже со дня обнаружения (26 ноября) он не работает если на компе установлен MSE wink
www.microsoft.com/security/portal/Threa … 2147640650

Оперативненько!

Rorschach · 09-12-10 12:57:14

Svart Testare пишет:

И, конечно же, уже со дня обнаружения (26 ноября) он не работает если на компе установлен MSE
www.microsoft.com/security/porta … 2147640650
Оперативненько!

А если нет авиры, MSE и ESET?

Svart Testare · 09-12-10 12:58:52

Skynet2015 пишет:

А если нет авиры, MSE и ESET?

Ну на «нет» и суда нет ©

elf · 09-12-10 13:46:35

Svart Testare пишет:

Ссылка на .exe с эксплойтом:
www.exploit-db.com/sploits/uacpoc.zip
И, конечно же, уже со дня обнаружения (26 ноября) он не работает если на компе установлен MSE
www.microsoft.com/security/portal/Threa … 2147640650
Оперативненько!

Мда. Windows без антивируса всё ещё в интернет выпускать нельзя.

Svart Testare · 09-12-10 13:55:35

elf пишет:

Мда. Windows без антивируса всё ещё в интернет выпускать нельзя.

Уязвимость локальная, интернет не поможет.

nixadmin · 09-12-10 14:38:20

зачем блочить сплоит антивирусом? смысл сплоитов - демонстрация, не больше.

Svart Testare · 09-12-10 14:50:47

nixadmin пишет:

зачем блочить сплоит антивирусом?

На время — пока патч не придёт через WU. График патчей же соблюдается, а через MSE можно мгновенно заблокировать любую уязвимость.

Linfan · 09-12-10 17:35:18

Svart Testare пишет:

nixadmin пишет:
зачем блочить сплоит антивирусом?
...через MSE можно мгновенно заблокировать любую уязвимость.

"блажен кто верует" © lol Я бы так без оглядки на один MSE не полагался. Уже рассказывал - недавно пришлось инспектировать комп с установленным и проапдейтченным NOD32 - Авира нашла там 9 разных зловредов. NOD32 им не мешал, они ему - идилия smile

А демо-эксплоит лочить через MSE - это глупое занятие. Скорее пиар ход, чем блокирование уязвимости. Переписанный эксплоит будет все-равно работать.

Кантрабас · 09-12-10 17:47:17

elf пишет:

Мда. Windows без антивируса всё ещё в интернет выпускать нельзя.

Когда доля Виндоуз упадет ниже 1%...

Добавлено спустя 03 мин 50 с:

Linfan пишет:

А демо-эксплоит лочить через MSE - это глупое занятие. Скорее пиар ход, чем блокирование уязвимости. Переписанный эксплоит будет все-равно работать.

Смотря как переписывать...
Вообще обсуждение уязвимостей-патчей - это обсуждение истории. То что подается как "0-дей" на самом деле уже произошло и уже АБСОЛЮТНО безопасно к разглашению.

Linfan · 09-12-10 17:57:51

Смотря как переписывать...

Можно даже другим компилятором просто пересобрать - другая сигнатура бинарника и MSE "отправляется на йух весело махая клешнями" © big_smile

Svart Testare · 09-12-10 18:37:42

Linfan пишет:

Авира нашла там 9 разных зловредов. NOD32 им не мешал, они ему - идилия

Казалось бы, при чём здесь MSE? lol

Linfan пишет:

А демо-эксплоит лочить через MSE - это глупое занятие

Дело ж не в демо или не демо. Если будет рабочий эксплойт, он всё равно таким же способом будет пытаться работать (согласно описанию уязвимости). Так что MSE его запросто пресечёт.

petrun · 09-12-10 18:52:28

Svart Testare пишет:

он всё равно таким же способом будет пытаться работать (согласно описанию уязвимости). Так что MSE его запросто пресечёт.

Антивирусы, они сигнатуры сверяют, а не трейсят каждый процесс на предмет кто-что делает.

Maddoc · 09-12-10 18:55:34

petrun пишет:

Антивирусы, они сигнатуры сверяют

А эвристический анализ тоже?

Svart Testare · 09-12-10 18:56:17

petrun пишет:

а не трейсят каждый процесс на предмет кто-что делает.

В MSE есть эвристика и он как раз проверяет поведение процессов и если что-то кажется подозрительным — сигнализирует. Это всё, конечно же, в дополнение к обычной сигнатурной проверке.

petrun · 09-12-10 19:00:30

Svart Testare пишет:

В MSE есть эвристика и он как раз проверяет поведение процессов и если что-то кажется подозрительным — сигнализирует.

И что, с обновлением базы происходит обновление эвристики?

Форум StopLinux

Объявление

#1 26-11-10 22:13:29

Уязвимость Windows в win32k.sys

#2 26-11-10 23:54:35

Re: Уязвимость Windows в win32k.sys

#3 27-11-10 00:10:11

Re: Уязвимость Windows в win32k.sys

#4 27-11-10 00:16:07

Re: Уязвимость Windows в win32k.sys

#5 27-11-10 00:24:21

Re: Уязвимость Windows в win32k.sys

#6 27-11-10 04:38:56

Re: Уязвимость Windows в win32k.sys

#7 27-11-10 04:54:45

Re: Уязвимость Windows в win32k.sys

#8 27-11-10 08:45:13

Re: Уязвимость Windows в win32k.sys

#9 27-11-10 10:02:28

Re: Уязвимость Windows в win32k.sys

#10 09-12-10 12:39:59

Re: Уязвимость Windows в win32k.sys

#11 09-12-10 12:53:50

Re: Уязвимость Windows в win32k.sys

#12 09-12-10 12:57:14

Re: Уязвимость Windows в win32k.sys

#13 09-12-10 12:58:52

Re: Уязвимость Windows в win32k.sys

#14 09-12-10 13:46:35

Re: Уязвимость Windows в win32k.sys

#15 09-12-10 13:55:35

Re: Уязвимость Windows в win32k.sys

#16 09-12-10 14:38:20

Re: Уязвимость Windows в win32k.sys

#17 09-12-10 14:50:47

Re: Уязвимость Windows в win32k.sys

#18 09-12-10 17:35:18

Re: Уязвимость Windows в win32k.sys

#19 09-12-10 17:47:17

Re: Уязвимость Windows в win32k.sys

#20 09-12-10 17:57:51

Re: Уязвимость Windows в win32k.sys

#21 09-12-10 18:37:42

Re: Уязвимость Windows в win32k.sys

#22 09-12-10 18:52:28

Re: Уязвимость Windows в win32k.sys

#23 09-12-10 18:55:34

Re: Уязвимость Windows в win32k.sys

#24 09-12-10 18:56:17

Re: Уязвимость Windows в win32k.sys

#25 09-12-10 19:00:30

Re: Уязвимость Windows в win32k.sys

Подвал форума