Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 50

НЛО прилетело и опубликовало эту надпись здесь
Вроде было. Или я это не тут читал?
Комментарий пока не оценивали0
Видимо таки не здесь…
Всего голосов 1: ↑1 и ↓0+1
Ну да… Это rewrite с Либератума:

Вот цитата оттуда:
Уязвимость обнаружена в ядре Windows в win32k.sys и является результатом того, что вызов API NtGdiEnableEUDC не в состоянии проверить пользовательский ввод на вредоносное содержание. Хакеры могут использовать этот баг для перезаписи адресов возврата на вредоносный код, который в дальнейшем исполняется в привилегированном режиме. В результате брешь позволяет пользователям или процессам даже с ограниченными привилегиями исполнять код с повышенными правами.


Почему бы топик-ссылку не сделать просто?
Всего голосов 4: ↑3 и ↓1+2
Я эти пару предложений не на Либератуме, а вообще на каком-то «левом» сайте увидел, если честно… Остальная информация там была представлена кошмарно, поэтому решил сделать не топик-ссылку, а написать самостоятельно более человеческим языком, просто включив в текст адекватную часть прочитанного.
Всего голосов 5: ↑4 и ↓1+3
>Продуктами Лаборатории Касперского эксплойт детектируется как Exploit.Win32.EUDCPoC.a.
И как после этого уязвимость может называться 0-day?
Всего голосов 6: ↑3 и ↓30
На нее нет заплатки, вот и называется «Уязвимость нулевого дня»
Всего голосов 6: ↑5 и ↓1+4
А как связаны детект антивирусом и уязвимость нулевого дня?
Всего голосов 1: ↑1 и ↓0+1
Т.к не я придумал понятие 0-day exploit, то узнавал про это здесь: en.wikipedia.org/wiki/Zero-day_exploit
А там черным по белому сказано, что наличие эксплоита в базах антивируса — уже не zero-day exploit.
Комментарий пока не оценивали0
Процитируйте, пожалуйста, где такое сказано. Не могу найти
Комментарий пока не оценивали0
Вероятно, имеется ввиду вот это:
...threat that tries to exploit computer application vulnerabilities that are unknown to others
Всего голосов 1: ↑1 и ↓0+1
То есть как бы если она кому-то уже известна, эта вульнерабилити, то налицо несоответствие определению
Всего голосов 1: ↑1 и ↓0+1
Ну, она всегда известна, как минимум одному лицу. А вообще она zero-day, пока для нее патча от производителя нет. Антивирусники тут ни при чем, я считаю
Всего голосов 1: ↑1 и ↓0+1
А не подскажете конкретную строчку, из которой Вы сделали такое заключение? У меня просто с английским так себе, поэтому, возможно, я что-то пропустил или не совсем правильно понял, но про базы антивируса ничего особенного там не нашёл… А в русской версии этой статьи сказано только, что «0day-эксплоит — эксплоит для уязвимости в программе, не устранённой на момент выхода эксплоита». Зато там есть ещё одно понятие: «0day-вирус, либо вредоносная программа являются новыми, ранее неизвестными. По происхождению они не включены в сигнатуры антивирусного ПО, и и таким образом могут быть распознаны только другими способами до попадания в сигнатуры антивирусов.» Может, Вы их просто перепутали?
Всего голосов 2: ↑2 и ↓0+2
выход один — использовать виндовс 98
Всего голосов 11: ↑6 и ↓5+1
Это что-то новенькое. Раньше все *nix советовали в таких случаях))
Всего голосов 19: ↑19 и ↓0+19
Виндовс 9х позволяет любому процессу получить любые привилегии без всяких багов в ядре.
Всего голосов 6: ↑6 и ↓0+6
Где тег «ведро»?
Всего голосов 8: ↑4 и ↓40
Видно забыли в вчерашнем топике про linux, где эту уязвимость вспоминали.
Всего голосов 11: ↑11 и ↓0+11
Вообще должно быть «решето». Не понятно откуда «ведро» взялось
Всего голосов 2: ↑2 и ↓0+2
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Походу пора доставать дискеты с DOS…
Всего голосов 2: ↑0 и ↓2-2
Пора качать исошники с *nix.
Всего голосов 11: ↑5 и ↓6-1
а исходники есть или хотя бы бинарник?
Комментарий пока не оценивали0
Есть и то, и другое, но я не уверен, стоит ли здесь давать ссылку…
Всего голосов 2: ↑2 и ↓0+2
ок, я уже нашел, скачал, затестил
на семерке работает на xp пишет, что не поддерживается
убрал в исходнике проверку версии — получил бсод на xp
в xp запускал c правами пользователя-администратора
выкладывать или нет нет разницы :) те кто смогут воспользоваться со злым умыслом, те и так найдут, а те кто не смогут — тем пофиг на выкладывание
плюс в соседней ветке про баг ядра линукс исходник никто выложить не постеснялся. почему?
Всего голосов 2: ↑2 и ↓0+2
НЛО прилетело и опубликовало эту надпись здесь
Ну ладно, пусть и тут будет чисто для «потестить» ;)
www.exploit-db.com/sploits/uacpoc.zip
Там сразу и бинарник, и исходники в архиве.
Всего голосов 2: ↑2 и ↓0+2
Avast ругнулся (:
Значит, не так всё страшно?..
Комментарий пока не оценивали0
Ну, если степень опасности Вы измеряете исключительно по реакции Аваста, то да — не так страшен чёрт, как его малютка… А вообще, немного ниже я давал ссылку на отчёт VirusTotal (23/43; 53,5%). ;)
Всего голосов 1: ↑1 и ↓0+1
если у вас включен контроль запуска программ с дефолтными настройками то программа poc.exe с рабочего стола не запустится. то есть грамотно настроенные офисные компьютеры, даже без антивирусных программ и заплаток, неуязвимы для этого страшного зверя

Всего голосов 4: ↑3 и ↓1+2
Вы про AppLocker? Если да, то стоит учесть, что он входит в состав только «Корпоративной» и «Максимальной» редакций Windows 7, а их далеко не каждый офис может себе позволить.
Всего голосов 1: ↑1 и ↓0+1
я про политику ограниченного использования программ. есть во всех версиях кроме домашних
Всего голосов 1: ↑1 и ↓0+1
Блин
так вот от чего у меня бсод время от времени и ругань на win32.sys
Комментарий пока не оценивали0
Едва ли, если только Вы время от времени сами на себе этот эксплойт не тестите)) Он пока не был замечен в использовании злоумышленниками.
Всего голосов 1: ↑1 и ↓0+1
уф, свят свят, значт показалось ))))
Комментарий пока не оценивали0
Незнакомые программы запускаю только на виртуальной машине.
Комментарий пока не оценивали0
где достать poc.exe пока на этой стадии он есть безобидная, но иногда жизненно нужная в техобслуживании утилитка?
Всего голосов 1: ↑1 и ↓0+1
попробуйте winAUTOPWN, для систем без свежих патчей прокатит
Всего голосов 1: ↑1 и ↓0+1
Я выше в комментах ссылку на архив с исходниками и бинарником этого эксплойта публиковал.
Всего голосов 2: ↑2 и ↓0+2
Да вы что! По словам «главного чувака по безопасности майкрософт в россии» — самые дырявые ОС это линукс и макось! )) Давайте поддержим дискуссию в комментах, не оставим этому бреду права на жизнь! goo.gl/L8QhF — ссылко на блог «Microsoft для прессы».
Всего голосов 3: ↑2 и ↓1+1
MS Security Essentials уже реагирует на PoC как на «Exploit:Win32/Deusenc.A»
еще не заплатка, но уже хоть какие-то действия и от МС
Всего голосов 1: ↑1 и ↓0+1
на Windows XP SP3 не запустилось. Судя по всему, из-за этой строчки:

	if((vi.dwBuildNumber >= 6000 && !bIsWow64) || (vi.dwBuildNumber >= 7600 && bIsWow64))


а билд ХР = 2600… =\
Комментарий пока не оценивали0
эти условия только для 64 битных систем. Драйвер работает во всей линейке начиная с XP
Всего голосов 1: ↑1 и ↓0+1
В соседнем топике про совместимость с XP говорят, что, цитирую, «данный конкретный PoC не работает, но сама уязвимость актуальна для этой платформы».
Всего голосов 1: ↑1 и ↓0+1
я сказал о драйвере. POC не работает не из-за тех строчек, что привел AusTin.
Комментарий пока не оценивали0
А я и отвечал не Вам)) Я просто страничку открыл и начал писать ещё до того, как увидел Ваш комментарий.
Всего голосов 1: ↑1 и ↓0+1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Показать лучшие за всё время

Истории

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr