A júliusi patchkedd javítást hozott a @taviso által felfedezett kernelsebezhetőségre

Titkosítás, biztonság, privát szféra

Tavis Ormandy (@taviso) - a Google biztonsági csapatának tagja - májusban közölte egy súlyos, a Windows változatok széles skáláját érintő biztonsági sebezhetőség részleteit. A sebezhetőség kihasználására alkalmas PoC exploitot tett közzé nem sokkal később. A H Security állítja, hogy a Microsoft - noha tisztában volt azzal, hogy a sebezhetőséget célzottan kihasználják - nem figyelmeztette a sebezhetőséggel kapcsolatban ügyfeleit. A tegnapi patchkedden számos más súlyos sebezhetőség mellett javítás érkezett erre a sebezhetőségre is.

A részletek itt.

( trey | 2013. 07. 10., sze – 12:46 )

Kifejezetten tetszik a "Win32k Read AV Vulnerability - CVE-2013-3660" leírás alatt olvasható "Why is code execution unlikely for this issue?" szakasz. Mit akarhat ez jelenteni? Hogy NT Authority\SYSTEM joggal lehetetlen kódot futtatni?

--
trey @ gépház

Valamit félreértesz. Most csak maradjunk annál, hogy local sebezhetőségről van szó. Tegyük fel, hogy a támadó már hozzáfér a rendszerhez (egy működő remote vagy más módon). Ezt a sebezhetőséget kihasználva egy guest account-ból NT Authority\SYSTEM jogokhoz juthatok.

Mit akartak mondani? Tetszőleges kód futtatására ugyan nem használható ki. Rendben. De olyan jogokat szerzek vele, amivel a legmagasabb szintű jogaim vannak. Azt futtatok, amit akarok. Kit érdekel az ASLR mellébeszélés? Ami még a PoC-ot sem fogta meg?

Szerintem az csak egy ott maradt, szinte minden advisory-ba odabiggyesztett copy&paste bullshit.

--
trey @ gépház

Te most azon lovagolsz, hogy system jogot lehet szerezni. Igen. Ezért lett critical. Viszont megcsinálni nehéz. (Persze az ASLR-ben azért nem bíznék). Gondolom ezért lett 3-as szintű, azaz unlikely. Erről meg bővebben itt e. Persze felőlem még lehet copypasta a szöveg és kiegyezhetünk egy kettes szintben. ;)

Nem lovagolok semmin. Viszont látszólag még mindig kevered a dolgokat. Amit te linkelsz "likely, unlikely stb." arra vonatkozik, hogy lehet-e rá exploitot írni. Exploitability index.

Elég fura lenne unlikely-t adni arra, mire a Metasploit framework-ben exploit modult adtak ki. Ráadásul 0day-ben.

De én nem is erről beszéltem.

--
trey @ gépház

Egy hülyeségről beszélgetünk szvsz. Azért tisztelettel emlékeztetnélek, hogy az egész szál azért indult, mert az unlikely-ba belekötöttél - VAGY úgy lehetett érteni. Azt aláírom, hogy mivel már van rá kész program, amit a kiddie-k csak elindítanak (a belinkelt screenshotodon látható) ez egy melléfogás az MS részéről, de sokkal több szót vesztegettünk rá, mint amennyit az MS besorolása ér. A másik kérdés izgalmasabb, hogy vajon az MS miért nem figyelmeztette a felhasználókat, ha tudta. Ez jogos kérdés. De meglepő? Nem az első és nem is az utolsó ilyen eset. Jó, ez is túltárgyalva. :P

És hogy futtatod le az exploitot? Szerintem ők ezt úgy értik, hogy ha lekorlátozod a kérdéses felhasználók által futtatható programok körét, akkor ez a hiba nem teszi lehetővé, hogy ezt a korlátozást megkerüld. Vagyis kell egy kódfuttatást lehetővé tevő hiba is ahhoz, hogy futtasd az exploitot.

ehehe.... Microsoft had not received any information to indicate that this vulnerability had been used to attack customers to achieve remote code execution when this security bulletin was originally issued. Microsoft was aware of this vulnerability being used to achieve elevation of privilege in targeted attacks.