06/01/2006 02:55:29
cp77fk4r
למי שלא זוכר, לפני כמה ימים התגלה באג בתצורת הרינדור של הWIndows Metafile, בגלל כתיבה רשלנית של המנוע שהיה אחראי על רינדור התמונות בקטע זה, היה אפשר להחדיר קוד בתמונה וע"י הצגת התמונה הזאת בלבד הבאג היה גורם למנוע להריץ את הקוד שהושתל, קוד מספיק חכם היה מאפשר לתוקף לקבל גישה מלאה למחשב שהיה צופה בתמונה.
לבאג יצא סוף סוף (קצת פחות משבוע..)תיקון רשמי מבית חברת מייקרוסופט.
עד לפני שמייקרוסופט הוציאו את הטלאי, הפתרון הזמני היה פשוט לבטל את הפעולה של הרינדור תמונה וכך בעצם להתגונן מפני הבאג, ע"י כניסה לStart, שם לRun, ושם לכתוב: קוד: regsvr32 /u shimgvw.dll
לינק לידיעה הרשמית+להורדת הטלאי באתר של מייקרוסופט:
" target="_blank">http://www.red-board.co.il/forum/topic.asp?tid=22618 [ההודעה נערכה על-ידי cp77fk4r ב-06/01/2006 03:07:59]
06/01/2006 03:38:01
Inj3ction_Boy
תודה רבה סיפי.. בדיוק היום לפני שעתיים בערך הגיעה אליי אימייל מsec.org.il שמודיעה על זה וחשבתי לפרסם את זה פה, אבל בסוף לא פירסמתי. תודה :)
06/01/2006 12:29:54
cp77fk4r
וואלה, יש לי תחושה שעוד כמה זמן, לא יותר מדי, יפורסם אקספלויט שמצליח לעבור את החסימה של הטלאי הזה. לא יודע, משהו בבטן אומר לי את זה :)[ההודעה נערכה על-ידי cp77fk4r ב-12/01/2006 02:49:03]
06/01/2006 12:35:51
antivirus
חחחחח תודה ואני חושב שאתה צודק..
07/01/2006 00:48:05
Zibi
כן,משום מה בזמן האחרון זה קורה להם הרבה.במקום לסגור חורים דופקים את המערכת או שמנצלים חור בעדכון עצמו.[ההודעה נערכה על-ידי Zibi ב-07/01/2006 00:48:43]
07/01/2006 17:23:03
אודי
כן..זאת מיקרוסופט.
תודה רבה על העידכון.
07/01/2006 17:29:39
porto_jwl
תודה על המידע.
07/01/2006 18:04:35
cp77fk4r
לא לא, בלי קשר למייקרוסופט או לא מייקרוסופט, גם אם זאת הייתה חברה אחרת הייתי אומר את זה, אמרתי את זה בגלל שהם הוציאו את העידכון תחת לחצים, זה באג יחסית קריטי, וכבר מימשו טרויאן שמשתמש בבאג הזה (Trojan.Win32.WMF.exploit), ככה שלא בטוח שהיה להם מספיק זמן לעבור על כל האפשרויות, הגיוני שאו שיגלו באג חדש- או שהם יוציאו עידכון לעידכון.
זאת דעתי בכל אופן.
08/01/2006 02:07:35
antivirus
אגב סיפי שאלה לי אליך.... העלתי תמונה לאתר שלי עם האקספלוייט שנתנו באתר...עכשיו אני פתוח תתמונה ניגש לnetstat שלי ולא נפתח לי שום חיבור עם פורט 8080 כמו שהאקספלוייט אמור לעשות
08/01/2006 02:30:54
cp77fk4r
מספר דברים.
א’, שים לב שהאקספלויט הוא PoC, זאת אומרת שהוא לא עושה שום דבר רע חוץ מלנצל את הפירצה- הוא פשוט מחזיר ערך ריק , רק בכדי להוכיח שהוא פועל ותו לא.
ב’, אם אתה רואה את התמונה דרך הדפדפן שלך, בלי שום קשר לאקספלויט אמור להפתח לך חיבור על גבי פורט 8080 מפני שזה הפורט שהוגדר אצלך להשתמש בHTTP ודרכו אתה רואה את התמונה, בלי קשר לאקספלויט בכלל.
ג’, תסתכל על הקוד, תחפש לך איזה קוד-מעטפת בגודל שאתה צריך שם, תלביש אותו על האקספלויט, תשנה את מה שצריך לערוך ואז האקספלויט יעזור לך, אל תשכח לציין את הIP שלך ואת הפורט- ולהאזין לו כל הזמן עד שמישהו יכנס לאותו עמוד.
12/01/2006 02:48:27
cp77fk4r
זוכרים מה אמרתי?
(למי שלא): ציטוט:וואלה, יש לי תחושה שעוד כמה זמן, לא יותר מדי, יפורסם אקספלויט שמצליח לעבור את החסימה של הטלאי הזה. לא יודע, משהו בבטן אומר לי את זה :)
זה קרה היום. http://www.securityfocus.com/brief/101
אז לא יצא אקספלויט, אבל כבר מצאו שני פגמים חדשים באותו המנוע.
הבאגים נמצאו ע"י cocoruder, (מסוג Multiple Memory Overrun) , קוד+מידע על המערכות הפגועות+ לוג+הסבר של הדיבאגינג (פחות או יותר) אפשר לראות פה:
http://www.securityfocus.com/archive/1/421257
את הבאג אפשר לנצל גם לוקאלית אבל גם מרחוק, ולכן מומלץ לבטל בינתיים את הרישום והשימוש בDLL שאחראי על הרינדור של המטאפייל(Shimgvw.dll) ע"י הרצת הפקודה הזאת: קוד: regsvr32 /u %windir%\system32\shimgvw.dll
לאחר שיצא טלאי מסודר שיתקן את הבעיה, תרשמו את הDLL מחדש ע"י הרצת הפקודה הזאת:
יאללה, זזתי לישון, לילה טוב.[ההודעה נערכה על-ידי cp77fk4r ב-12/01/2006 02:51:14]
12/01/2006 09:13:12
antivirus
חחח וסיפי כמו תמיד צודק (:
12/01/2006 12:54:26
cp77fk4r
אתה מגזים, אני לא תמיד צודק, וכאן אין קטע של להיות צודק או לא, זה היה די צפוי.
12/01/2006 21:41:58
porto_jwl
מסכים אם זה שאולי יהיה אקספלויט לניצול באג,נראה כבר מה יהיה.
13/01/2006 01:01:22
cp77fk4r
כבר יצא אקספלויט שמנצל את הבאג, למרות שעוד לא ראיתי דיווחים שלו באתרי החדשות, הגיוני שעוד מעט K-Otik (הקבוצה המקורית של FrSIRT הצרפתים) יפרסמו אותו.
25/01/2006 17:56:42
antivirus
ממשיכים להכות על אותה נקודה... היום ה25 לחודש פורסם באתר FrSIRT שאומנם מיקרוסופט חסמה את האקספלוייטים הקודמים שניצלו את החור אך היום שוחררה גירסה חדשה של האקספלוייט שעד לרגע זה עדיין האנטיוירוסים לא מגנים מפניו למאמר http://www.securityfocus.com/bid/16074/exploit
25/01/2006 18:45:40
Zibi
בעעע אני לא מבין איך מיקרוספוט מרשים לעצמם לעשות כאלו טעיות הם סוגרים חור אחד נפתח אחר סוגרים אותו נפתחים עוד עשרים ואחר כך גם מישהו טוען שהם שמו דלת אחורית במערכת.זה מזכיר לי קצת את הפרשה של סוני bmg אם הרגולה שהם שתלו בדסיקים שלהם.
25/01/2006 19:21:28
antivirus
חחח זה בגלל הבסיס זיבי הבסיס של ווינדוס רקוב והם ממשיכים לבנות עליו הרים וגבעות ולכן לא משנה איזה מערכת הם יוצאיו..כל עוד היא תיהיה בקוד סגור זה ימשיך ככה לנצח
26/01/2006 17:37:39
cp77fk4r
דווקא עכשיו מייקרוסופט עובדים על מערכת עם גרעין חדש, כותבים קוד מאפס, הם כבר פרסמו כל מני דברים עליה, השם שלה יהיה "סינגולאריטי".
26/01/2006 17:54:18
Zibi
כן שמעתי על זה אבל לפי מה שהם אמרו זה רק כדי לנסות דברים הם לא יתחילו לשווק אותה.
27/01/2006 01:45:46
cp77fk4r
הם אמרו שזאת תהיה מערכת עם קרנל ששונה לחלוין מהקרנל הקיים של הוינדוס, יותר יציבה ומאובטחת, בכל אופן, זה לא נורא הטופיק.
עמודים:
1
