Comments 31
Как-то теги статьи слабо коррелируют с серьёзностью уязвимости.
<айрони>Да, теперь-то точно капец</айрони>
Кто знает. Автор не нашёл как использовать уязвимость лучше, а кто-то может и догадается. Мне про мою находку об обходе проактивки в Outpost тоже говорили, что ничего в этом нет ужасного. Пока я не автоматизировал процесс обхода
Как я понимаю это всего-лишь еще одна разновидность «авторана».
И прав админа она не дает. Тогда почему она 0-day?
И прав админа она не дает. Тогда почему она 0-day?
Тогда почему она 0-day?
Википедия подскажет
Как я понимаю это всего-лишь еще одна разновидность «авторана»
Что Вы под этим подразумеваете? Самого по себе авторана пока что из этого не получилось
Можно будет создать папку на флешке, и прописать в них desktop.ini который указывает на ресурс иконки из DLL что тоже на флешке.
И при просмотре флешки explorer попытается загрузить картинку и выполнит код DLL?
Или я не правильно понял и это работает только вручную в диалоге смены иконки папки?
И при просмотре флешки explorer попытается загрузить картинку и выполнит код DLL?
Или я не правильно понял и это работает только вручную в диалоге смены иконки папки?
Возможно, этот вариант отработает! Автор об этом не упоминал. Думаю, в ближайшее время народ поэксперементирует с этим и станет всё совсем ясно
Если да, и это сработает, можно ожидать наплыв новых авторанных вирусов на флешках…
И эра заражения автораном через USB флешки на ХР прийдет на 7 :)
Это печально, но баг очень интересный, заодно стимул перейти на Windows 8 :)
И эра заражения автораном через USB флешки на ХР прийдет на 7 :)
Это печально, но баг очень интересный, заодно стимул перейти на Windows 8 :)
Не работает. Через выбор иконки срабатывает, а когда она уже установлена — нет.
UFO just landed and posted this here
А кто вам сказал что только абсолютный путь поддерживается?
Проверил загрузка иконки относительно корня диска работает.
Для проверки в desktop.ini в Dropbox убрал C: — иконка успешно загружается.
PS: какой функцией загружается библиотека в таком случае не смотрел еще.
Для проверки в desktop.ini в Dropbox убрал C: — иконка успешно загружается.
[.ShellClassInfo] IconFile=\Users\hazzik\AppData\Roaming\Dropbox\bin\Dropbox.exe IconIndex=-2001 InfoTip=A securely backed up place to put your important files.
PS: какой функцией загружается библиотека в таком случае не смотрел еще.
У меня есть флешка на которой в папках заданны иконками в desktop.ini:
Не помню, может действительно есть исключение для DLL ресурсов.
Даже если так то вирусам не составит труда создать 26 папок с прописями на все буквы алфавита в корне диска.
А следует из этого что простое отключение авторана от таких ловушек на ХР,7 не будет защищать.
[.ShellClassInfo]
IconResource=LogoSetup.exe,0
IconIndex=0
IconFile=LogoSetup.exe
Не помню, может действительно есть исключение для DLL ресурсов.
Даже если так то вирусам не составит труда создать 26 папок с прописями на все буквы алфавита в корне диска.
А следует из этого что простое отключение авторана от таких ловушек на ХР,7 не будет защищать.
StuxNet создал всего 4 ярлыка. Он использовал абсолютный путь, сгенерированный по уникальным VID и PID флешки. А 4 ярлыка были вызваны некоторыми различиями в пути для Windows XP\Vista\7
В Win7 SP1 x64 с последними обновлениями не смог воспроизвести:(
windows xp x86 с последними обновлениями — сработало
windows 7 x64 с последними обновлениями — не сработало
windows 7 x64 с последними обновлениями — не сработало
Вы, вероятно, пробовали воспроизвести фокус с 32 битной dll'кой. Я тоже попробовал и уже почти обрадовался — не подвержена. А потом скомпилировал 64 битную dll и радость закончилась, всё воспроизводится, просто в x64 системах нужна dll соответствующей битности.
Это детский сад а не уязвимость. Чтобы вытянуть ресурсы из длл-ки, ее нужно загрузить, что неизбежно вызывает ф-цию DllMain, в которой может быть любой код.
Таких «уязвимостей» в винде есть 100500 — начиная от хуков, заканчивая расширениями шелла. Все они заставляют винду загрузить вашу ддл-ку в контекст процесса.
Таких «уязвимостей» в винде есть 100500 — начиная от хуков, заканчивая расширениями шелла. Все они заставляют винду загрузить вашу ддл-ку в контекст процесса.
Это — не детский сад, а серьезная уязвимость.
Когда я открываю dll как контейнер иконок, последнее, о чем я думаю — это о запуске кода из библиотеки. Операции «открыть» и «запустить» я почему-то всегда считал принципиально разными операциями, и не один я.
Вот цитата из оригинальной статьи:
Когда я открываю dll как контейнер иконок, последнее, о чем я думаю — это о запуске кода из библиотеки. Операции «открыть» и «запустить» я почему-то всегда считал принципиально разными операциями, и не один я.
Чтобы вытянуть ресурсы из длл-ки, ее нужно загрузить, что неизбежно вызывает ф-цию DllMain, в которой может быть любой код.Да неужели? Вы желаете сказать, что ResHacker загружает и выполняет DllMain всех тех файлов, ресурсы которых я редактирую?
Вот цитата из оригинальной статьи:
Давайте разберёмся что же произошло. Происходил вызов библиотеки при попытке сменить значок для каталога (для файлов или ярлыков вызов библиотеки происходил безопасным образом при помощи LoadLibraryEx)
DLL можно загрузить безопасным образом, без выполнения кода. А вот с уязвимостями вида dll hijacking да, полная печаль.
Для загрузки DLL с целью извлечения ресурсов есть функция LoadLibraryEx с флагами типа LOAD_LIBRARY_AS_DATAFILE, LOAD_LIBRARY_AS_IMAGE_RESOURCE, которая, по идее, не должна исполнять код DLLки.
Почему еще никто не написал «решето»?
единственный известный вектор её использования — социальная инженерия. Необходимо обманом заставить пользователя якобы сменить значок папки на значок из присланного ему DLL-файла.
А не проще ли сразу заставить пользователя запустить exe'шник из аттача?)
Я прихожу с флешкой и у меня все папки имеют клевые иконки (возможно на флэшке задать иконки папкам и они отобразяться на другом компьютере). Человек спрашивает «а как ты сделал их»? А я отвечаю-а вот в длл-ке глянь. Хотя тут и правда проще отвлечь его и запустить ехе.
Вообще данный сценарий мог бы использоваться для сокрытия стороннего кода(типа руткита) в explorer.exe. Но я не смог придумать такую последовательность кода, которая бы все это делала.
Вообще данный сценарий мог бы использоваться для сокрытия стороннего кода(типа руткита) в explorer.exe. Но я не смог придумать такую последовательность кода, которая бы все это делала.
Autoit? :) В режиме hidden откроет-закроет окна?)
Sign up to leave a comment.
0-day в Windows XP\Vista\7