Comments 35
как я понимаю, чтобы установить inf, нужно обладать правами суперпользователя. Тут это обходится, или рассчитано на тех, кто выключает uac?
> В обоих случаях целями становятся страны НАТО.

Желтизна.
В чем желтизна? Жертвами этих групп становились страны восточной Европы, включая, Польшу. Все они входят в блок НАТО. Содержание документов также относилось к блоку. Ссылки на ресерч даны.
Из оригинальной статьи

Visible targets:

  • NATO
  • Ukrainian government organizations
  • Western European government organization
  • Energy Sector firms (specifically in Poland)
  • European telecommunications firms
  • United States academic organization



Судя по этой информации, не все так однозначно. Ну и западной европе тоже досталось.
Выше уже отписали. От себя добавлю, что ссылаясь на военно-политический блок(а не, например, на географическое положение) необходимо указывать причины подобных ссылок. Создается ощущение, что атака — действия спецслужб противника, а подобные заявления без доказательств лучше не делать, т.к. в этом и заключается желтизна.
Через пару дней будут подробности, тогда уже можно будет говорить точнее.
Ничего не написано про способ заражения.
документ PowerPoint должен быть скачан?
всё что выходило под MS Office — обязательно к скачиванию и выполнению. В основном документы получаются невалидные, редко валидные и пользователь ничего не видит.
В любом случае мсофис есть «у всех» и уязвимость критическая — тут в НАТО, конечно, не пошлёшь, но конкуренты могут манагерам прислать «благодарственных писем»
Как это соотносится с UAC? Он должен быть обязательно выключен, а пользователь должен обладать административными привилегиями?
Были года 4 назад шеллкоды, то есть можно было пустить прямой нагрузкой. Тут скорее всего дроппером
А если сидеть под юзером, а на админе пароль?
UAC от безисходности глупости для тех кто сидит всегда под админом.

тег S Зачеркивание не работает (если между скобкой и s ставить пробел то работает )
А есть способы обхода, еще не покрытые патчами? Просветите, пожалуйста, если в курсе.
Не в курсе. Скорее всего приватные. Ну, в конце концов, надо подождать POC вот этого или рабочую копию
Я думал, подобные вещи публикуют после того, как выпустят исправляющий патч.
А в особых случаях — для того, чтобы в компании кто-то получил пинок под зад и выпустил патч быстрее.
Вероятно это какое-то выражение, которого я не знаю.

Большинство открыто опубликованных уязвимостей кто-то уже использовал ранее.
Зачем же облегчать доступ вообще всем?
Зачем же облегчать доступ вообще всем?
Потому что иначе никто не почешется исправлять.
in the wild — уже используя злоумышленниками. И уже месяц как сообщили об этом, а Microsoft так и не выпустила патч. Такая публикация уязвимостей это хороший способ заставить их почесаться.
Интересно, почему в списке уязвимостей — версии Windows, и ничего про версии MS Office? Уязвимы все начиная с Office 95?
Судя по всему используется pptx — значит версии начиная с 2007. Под 2003 есть пакет конвертеров, но я сомневаюсь в том что он уязвим
Есть мнение, что ooxml — это буквальный перевод старого формата в xml, по сути — другой способ сериализации того же самого. То есть, что можно выразить в старом формате, можно и в новом, обратное тоже верно.

Если это правда, то должен быть способ построить и уязвимый ppt-документ в старом формате. В общем, чуть ниже уже прояснили — речь про обработку событий OLE, а ему сто лет в обед, первая версия датируется 1990-м, а фишка с действиями связана по-видимому с OLE Automation, которое появилось в 1994-м — как раз тогда, когда и разрабатывался office 95, и значит, он и должен быть первым офисом, который уязвим.

Но всё-таки винда по-любому должна спрашивать разрешения на установку. Я считаю, что ошибка в безопасности винды, а не в офисе, которому что сказали — он и делает.
Интересно, если .inf убран из списка исполняемых форматов (gpedit.msc -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Политики ограниченного использования программ -> Назначенные типы файлов), сработает ли эксплоит?
И куда скачивается файл? Если выполнение в *temp* запрещено, спасет ли это?
С момента опубликования поста о настройке групповых политик взял за привычку ограничивать область выполнения, спасало немало раз, но интересно было бы раздобыть такое «письмо счастья» и на виртуалке проверить.
UFO landed and left these words here
На самом деле, как я понял уязвимость не PowerPoint связана. PP — лиь одна из возможных реализаций, кои можно множество придумать. Уязвимость — в самом движке OLE и атака может осуществляться через любой OLE-объект. И совершенно не факт, что запрет запуска INF-файлом поможет.
Я не претендую ни на что, но по всей видимости ошибка в обработке действий над OLE-объектом



вот тут имеется только активировать объект и переименовать его
Я немного поковырялся =) и нашёл таки параметр отвечающий за действие

0 открытие
1 переименование
2 хз
3 установка
4 печать
5 хз
6 открыть с помощью
7 падает
8 хз
9 падает
10 диалог создания архива
11 автоматическое создание архива
12 диалог архива и на мыло
13 архим автоматом и на мыло

соответственно можно не просто открыть INF в блокноте, но и установить его практически без лишних вопросов.
по всей видимости, действия перебираются из контекстного меню
Правда, у меня алерт возник — ругается на то что файлик был сохранен из интернета (уж не знаю почему)
Сейчас 3 часа ночи, интереса у меня уже нет, а знаний начинает хватать всё меньше
Текст в презентации на скриншоте на русском. Ориентация атаки на русскоязычную аудиторию?
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

1 February 1992

Location

Словакия

Employees

1,001–5,000 employees

Registered

9 August 2008