Comments 50
UFO landed and left these words here
Ну да… Это rewrite с Либератума:

Вот цитата оттуда:
Уязвимость обнаружена в ядре Windows в win32k.sys и является результатом того, что вызов API NtGdiEnableEUDC не в состоянии проверить пользовательский ввод на вредоносное содержание. Хакеры могут использовать этот баг для перезаписи адресов возврата на вредоносный код, который в дальнейшем исполняется в привилегированном режиме. В результате брешь позволяет пользователям или процессам даже с ограниченными привилегиями исполнять код с повышенными правами.


Почему бы топик-ссылку не сделать просто?
Я эти пару предложений не на Либератуме, а вообще на каком-то «левом» сайте увидел, если честно… Остальная информация там была представлена кошмарно, поэтому решил сделать не топик-ссылку, а написать самостоятельно более человеческим языком, просто включив в текст адекватную часть прочитанного.
>Продуктами Лаборатории Касперского эксплойт детектируется как Exploit.Win32.EUDCPoC.a.
И как после этого уязвимость может называться 0-day?
На нее нет заплатки, вот и называется «Уязвимость нулевого дня»
Т.к не я придумал понятие 0-day exploit, то узнавал про это здесь: en.wikipedia.org/wiki/Zero-day_exploit
А там черным по белому сказано, что наличие эксплоита в базах антивируса — уже не zero-day exploit.
Вероятно, имеется ввиду вот это:
...threat that tries to exploit computer application vulnerabilities that are unknown to others
То есть как бы если она кому-то уже известна, эта вульнерабилити, то налицо несоответствие определению
Ну, она всегда известна, как минимум одному лицу. А вообще она zero-day, пока для нее патча от производителя нет. Антивирусники тут ни при чем, я считаю
А не подскажете конкретную строчку, из которой Вы сделали такое заключение? У меня просто с английским так себе, поэтому, возможно, я что-то пропустил или не совсем правильно понял, но про базы антивируса ничего особенного там не нашёл… А в русской версии этой статьи сказано только, что «0day-эксплоит — эксплоит для уязвимости в программе, не устранённой на момент выхода эксплоита». Зато там есть ещё одно понятие: «0day-вирус, либо вредоносная программа являются новыми, ранее неизвестными. По происхождению они не включены в сигнатуры антивирусного ПО, и и таким образом могут быть распознаны только другими способами до попадания в сигнатуры антивирусов.» Может, Вы их просто перепутали?
Это что-то новенькое. Раньше все *nix советовали в таких случаях))
Виндовс 9х позволяет любому процессу получить любые привилегии без всяких багов в ядре.
Видно забыли в вчерашнем топике про linux, где эту уязвимость вспоминали.
Вообще должно быть «решето». Не понятно откуда «ведро» взялось
UFO landed and left these words here
Есть и то, и другое, но я не уверен, стоит ли здесь давать ссылку…
ок, я уже нашел, скачал, затестил
на семерке работает на xp пишет, что не поддерживается
убрал в исходнике проверку версии — получил бсод на xp
в xp запускал c правами пользователя-администратора
выкладывать или нет нет разницы :) те кто смогут воспользоваться со злым умыслом, те и так найдут, а те кто не смогут — тем пофиг на выкладывание
плюс в соседней ветке про баг ядра линукс исходник никто выложить не постеснялся. почему?
если у вас включен контроль запуска программ с дефолтными настройками то программа poc.exe с рабочего стола не запустится. то есть грамотно настроенные офисные компьютеры, даже без антивирусных программ и заплаток, неуязвимы для этого страшного зверя

Вы про AppLocker? Если да, то стоит учесть, что он входит в состав только «Корпоративной» и «Максимальной» редакций Windows 7, а их далеко не каждый офис может себе позволить.
я про политику ограниченного использования программ. есть во всех версиях кроме домашних
Блин
так вот от чего у меня бсод время от времени и ругань на win32.sys
Едва ли, если только Вы время от времени сами на себе этот эксплойт не тестите)) Он пока не был замечен в использовании злоумышленниками.
где достать poc.exe пока на этой стадии он есть безобидная, но иногда жизненно нужная в техобслуживании утилитка?
Я выше в комментах ссылку на архив с исходниками и бинарником этого эксплойта публиковал.
Да вы что! По словам «главного чувака по безопасности майкрософт в россии» — самые дырявые ОС это линукс и макось! )) Давайте поддержим дискуссию в комментах, не оставим этому бреду права на жизнь! goo.gl/L8QhF — ссылко на блог «Microsoft для прессы».
MS Security Essentials уже реагирует на PoC как на «Exploit:Win32/Deusenc.A»
еще не заплатка, но уже хоть какие-то действия и от МС
на Windows XP SP3 не запустилось. Судя по всему, из-за этой строчки:

	if((vi.dwBuildNumber >= 6000 && !bIsWow64) || (vi.dwBuildNumber >= 7600 && bIsWow64))


а билд ХР = 2600… =\
эти условия только для 64 битных систем. Драйвер работает во всей линейке начиная с XP
В соседнем топике про совместимость с XP говорят, что, цитирую, «данный конкретный PoC не работает, но сама уязвимость актуальна для этой платформы».
я сказал о драйвере. POC не работает не из-за тех строчек, что привел AusTin.
А я и отвечал не Вам)) Я просто страничку открыл и начал писать ещё до того, как увидел Ваш комментарий.
Only those users with full accounts are able to leave comments. Log in, please.