[Frissítve] Tavis Ormandy - a közelmúlt legrosszabb távoli Windows kódfuttatása

 ( trey | 2017. május 8., hétfő - 21:35 )

A Google Project Zero tag Tavis Ormandy és kollégája, Natalie Silvanovich egy olyan távoli, féregírásra alkalmas Windows kódfuttatást fedezett fel, amit csak úgy jellemeztek, hogy a közelmúlt legrosszabbja. Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A "Részletek itt" egy erős túlzás. A bulváros jelzőkön túl konkrétan semmi részlet nem derül ki.
(Ugyanitt: HOWTO: hogyan írjunk 464 szavas cikket, 2db összesen 42 szavas twitter bejegyzésből, úgy hogy semmi egyéb konkrétummal nem rendelkezünk.)
---
Régóta vágyok én, az androidok mezonkincsére már!

ezt a köznyelv egyszerűen "treyságírás" szóval jellemzi

Megjottek a reszletek:

TLDR: A Windows Defender egy azon reszeben talaltak tavoli kodfuttatasra alkalmas hibat, ami alapbeallitasban minden kulso forrasbol szarmazo javascript fajlt vizsgal. Igy egy weboldal meglatogatasaval (vagy szerver eseten egy email kuldesevel) triggerelheto.

MsMpEng is the Malware Protection service that is enabled by default on Windows 8, 8.1, 10, Windows Server 2012, and so on. It runs as NT AUTHORITY\SYSTEM without sandboxing, and is remotely accessible without authentication via various Windows services.

On workstations, attackers can access mpengine by sending emails to users (reading the email or opening attachments is not necessary), visiting links in a web browser, instant messaging and so on.

We have discovered that the function JsDelegateObject_Error::toString() reads the "message" property from the this object, but fails to validate the type of the property before passing it to JsRuntimeState::triggerShortStrEvent().

NScript is the component of mpengine that evaluates any filesystem or network activity that looks like JavaScript. To be clear, this is an unsandboxed and highly privileged JavaScript interpreter that is used to evaluate untrusted code, by default on all modern Windows systems. This is as surprising as it sounds.

https://bugs.chromium.org/p/project-zero/issues/detail?id=1252
https://technet.microsoft.com/en-us/library/security/4022344

"It runs as NT AUTHORITY\SYSTEM without sandboxing"

\o/

Éljen az új security-aware Microsoft!

--
trey @ gépház

Alighanem az összes Windozzal szállított service-re igaz ez.
Linux esetén mi a helyzet? ;)

Nem tudok Linux alatt root joggal futó, alapértelmezetten jelen levő malwareszkennelő szolgáltatásról.

--
trey @ gépház

Nézzük a Clamav-ot, telepítést követően milyen jogai vannak?

trey@alderaan:~$ dpkg -l | grep clamav
trey@alderaan:~$

--
trey @ gépház

root@spark:~# ps -ef | grep clam
UID        PID  PPID  C STIME TTY          TIME CMD
clamav     696     1  0 Mar10 ?        00:12:46 /usr/bin/freshclam -d --foreground=true
amavis     741     1  0 Mar10 ?        00:24:06 /usr/sbin/clamd --foreground=true

3 eset van:

- Jellemzően azok a szolgáltatások, amiknek kell root jog induláshoz, mert pl. egy privilegizált portot meg kell nyitniuk, azok ezután hamar eldobják a root jogot, és amíg futnak, addig tipikusan egy speciális, csak ez által a szolgáltatás által használt felhasználó nevében.
- Aztán vannak olyanok, amik induláshoz se kérnek root jogot, ezeket helyből spec user nevében indítja a rendszer.
- És végül bizonyára vannak olyanok, amiknek futás közben is kell a root jog, mert olyasmi feladatot látnak el - ezek végig rootként futnak.

Konkrétan az érdekel, hogy a Linuxos vírusirtók ezt hogyan oldják meg.
Windows-on tudtommal kivétel nélkül magas privilégiumokkal.

Ott láthatod hárommal feljebb.

clamd amavis felhasználó nevében fut, freshclam meg clamav felhasználó nevében.

Úgy emlékszem, eredetileg mindkettő clamav nevében futott, de valamiért az amavis által átadott emaileket nem tudta a clamav megnyitni és így ellenőrizni (mert az amavis az amavis felhasználóként futott, és hiába állítottam be a doksi alapján, hogy a clamav az amavis csoport tagja legyen, valahogy nem működött).

Amavis-t nem érzem relevánsnak, mert nem mindenre kiterjedő, realtime víruskereső, hanem korlátozottan, az SMTP által átroutolt leveleket nézi át (fixme).

Ha ilyet nem tud a Clamav, más, Linux alatti víruskeresők igényelnek root jogosultságot?

binusz alatt még application firewall sincs csak pythonban épp összefosódó /proc parser (lásd snitch topic), szóval az ms rootkitjének elvi funkcionalitása csak nedves álom arrafelé

Félig-meddig igazad van.

Annyiból nem értek egyet, hogy a rendszer részeként nincs ilyesmi, viszont ha valakinek nedves álmot okoz ez, akkor fel tud magának telepíteni egyet.
De a felhasználók nagy részének semmilyen álmot nem okoz, így nem is telepítenek applikációs tűzfalat.

Mi a cél ezzel? Hogy bebizonyítsd, hogy egyes gépekre valaki telepített 3rd party vírusirtót, ami root joggal fut? Mi köze ennek ahhoz, hogy a Windowsban gyárilag benne van egy ami szar?

--
trey @ gépház

Pont ez a bajom. IT-s szempontból (ha félreteszem, hogy befolyásolja a versenyt) előrelépésnek tartom, hogy fut, mert növeli a biztonságot és ez emellett kicsit az erőforrásigénye.
Ha kell, központilag is lekapcsolhatod.

Ha a Linuxnak is hasonló felhasználói köre lenne, valószínűleg szükség lenne egy alapértelmezetten bekapcsolt kártevőkeresőre.
Meg tudnád oldani máshogyan a futását?

Igen, ahogy feljebb írtuk.

Gondolom egyébként Windows alatt is meg lehetne máshogy is oldani. Nem?

OK, azt hiszem, kezdem sejteni, mire vagy kíváncsi.

Én nem használok Linux alatt mindenre kiterjedő, realtime víruskeresőt. Épp ezért nem fut root-ként a gépemen ilyesmi :-)

Ha használnék valami olyasmit, ami pl. a teljes fájlrendszert folyamatosan monitorozza, és ha egy fájl megváltozik, akkor azt elolvassa, akkor ennek a processznek root joggal kéne futnia, hogy mindent olvasni tudjon.
Persze ez a program nem végezne víruskeresést, hanem a fájlrendszerből kiolvasott fájlt átadná a nem rootként futó víruskeresőnek (erre valószínű továbbra is clamav-ot használnék).

Szóval pont, hogy az amavis releváns a kérdésed szempontjából, mert az kapja el real time a vírushatáron beérkező adatokat, nem a clamav.

A kérdés az, hogy mit akarsz monitorozni.
Levelekre ugye ott a fenti.
Fájlrendszerre valószínű van vagy real time, vagy időzítetten mindent elolvasó program, bár nem használok ilyesmit.
Gondolom ugyanígy meg lehet oldani valami módon a böngészők hálózati forgalmának figyelését. Feltételezem, ehhez ugyanúgy, mint az amavis esetén, nem kellene root joggal futni (hanem pl. a user nevében). Ilyesmit se használok.

nem, annak a programnak a megfelelő selinux / apparmor / grsec akármi contexben kéne futnia, ami mondjuk mindenféle readonlyra van korlátozva.

Igen. Úgy még jobb.

CMD: wmic service get name,startname

Name StartName
AdobeFlashPlayerUpdateSvc LocalSystem
AeLookupSvc localSystem
AESTFilters LocalSystem
ALG NT AUTHORITY\LocalService
AppIDSvc NT Authority\LocalService
Appinfo LocalSystem
Apple Mobile Device LocalSystem
AppMgmt LocalSystem
APSMScan LocalSystem
aspnet_state NT AUTHORITY\NetworkService
AudioEndpointBuilder LocalSystem
AudioSrv NT AUTHORITY\LocalService
AxInstSV LocalSystem
BDESVC localSystem
BFE NT AUTHORITY\LocalService
BITS LocalSystem
Bonjour Service LocalSystem
Browser LocalSystem
bthserv NT AUTHORITY\LocalService
btwdins LocalSystem
CcmExec LocalSystem
CertPropSvc LocalSystem
CISVC LocalSystem
clr_optimization_v2.0.50727_32 LocalSystem
clr_optimization_v2.0.50727_64 LocalSystem
clr_optimization_v4.0.30319_32 LocalSystem
clr_optimization_v4.0.30319_64 LocalSystem
CmRcService LocalSystem
COMSysApp LocalSystem
CryptSvc NT Authority\NetworkService
CscService LocalSystem
DbgSvc LocalSystem
DcomLaunch LocalSystem
defragsvc localSystem
Dhcp NT Authority\LocalService
Dnscache NT AUTHORITY\NetworkService
dot3svc localSystem
DPS NT AUTHORITY\LocalService
EapHost localSystem
EFS LocalSystem
EMET_Service LocalSystem
eventlog NT AUTHORITY\LocalService
EventSystem NT AUTHORITY\LocalService
Fax NT AUTHORITY\NetworkService
fdPHost NT AUTHORITY\LocalService
FDResPub NT AUTHORITY\LocalService
FontCache NT AUTHORITY\LocalService
FontCache3.0.0.0 NT Authority\LocalService
FoxitReaderService LocalSystem
gpsvc LocalSystem
hidserv LocalSystem
hkmsvc localSystem
HomeGroupProvider NT AUTHORITY\LocalService
idoCacheSrv LocalSystem
idsvc LocalSystem
IEEtwCollectorService LocalSystem
IKEEXT LocalSystem
iMobilityService LocalSystem
IPBusEnum LocalSystem
iphlpsvc LocalSystem
iPlatformService LocalSystem
iPod Service LocalSystem
JuniperAccessService LocalSystem
KeyIso LocalSystem
KtmRm NT AUTHORITY\NetworkService
LanmanServer LocalSystem
LanmanWorkstation NT AUTHORITY\NetworkService
lltdsvc NT AUTHORITY\LocalService
lmhosts NT AUTHORITY\LocalService
lpasvc LocalSystem
lppsvc LocalSystem
macmnsvc NT AUTHORITY\LocalService
masvc LocalSystem
McAfee DEGo LocalSystem
McAfee Endpoint Encryption Agent LocalSystem
McAfee SiteAdvisor Enterprise Service LocalSystem
McAfeeFramework LocalSystem
MCMrc LocalSystem
McShield LocalSystem
McTaskManager LocalSystem
mfefire LocalSystem
mfemms LocalSystem
mfevtp LocalSystem
MMCSS LocalSystem
MouseWithoutBordersSvc LocalSystem
MozillaMaintenance LocalSystem
MpsSvc NT Authority\LocalService
MSDTC NT AUTHORITY\NetworkService
MSiSCSI LocalSystem
msiserver LocalSystem
napagent NT AUTHORITY\NetworkService
Net Driver HPZ12 NT AUTHORITY\LocalService
Netlogon LocalSystem
Netman LocalSystem
NetMsmqActivator NT AUTHORITY\NetworkService
NetPipeActivator NT AUTHORITY\LocalService
netprofm NT AUTHORITY\LocalService
NetTcpActivator NT AUTHORITY\LocalService
NetTcpPortSharing NT AUTHORITY\LocalService
NlaSvc NT AUTHORITY\NetworkService
nsi NT Authority\LocalService
NvcSvcMgr LocalSystem
O2FLASH LocalSystem
ose LocalSystem
osppsvc NT AUTHORITY\NetworkService
p2pimsvc NT AUTHORITY\LocalService
p2psvc NT AUTHORITY\LocalService
PcaSvc LocalSystem
PeerDistSvc NT AUTHORITY\NetworkService
PerfHost NT AUTHORITY\LocalService
pla NT AUTHORITY\LocalService
PlantronicsUpdateService LocalSystem
PlugPlay LocalSystem
Pml Driver HPZ12 NT AUTHORITY\LocalService
PNRPAutoReg NT AUTHORITY\LocalService
PNRPsvc NT AUTHORITY\LocalService
PolicyAgent NT Authority\NetworkService
Power LocalSystem
ProfSvc LocalSystem
ProtectedStorage LocalSystem
QWAVE NT AUTHORITY\LocalService
RapiMgr NT AUTHORITY\LocalService
RasAuto localSystem
RasMan localSystem
RemoteAccess localSystem
RemoteRegistry NT AUTHORITY\LocalService
RichVideo64 LocalSystem
rpcapd LocalSystem
RpcEptMapper NT AUTHORITY\NetworkService
RpcLocator NT AUTHORITY\NetworkService
RpcSs NT AUTHORITY\NetworkService
SamSs LocalSystem
SamsungUPDUtilSvc LocalSystem
SCardSvr NT AUTHORITY\LocalService
Schedule LocalSystem
SCPolicySvc LocalSystem
SDRSVC localSystem
seclogon LocalSystem
SENS LocalSystem
SensrSvc NT AUTHORITY\LocalService
SessionEnv localSystem
SharedAccess LocalSystem
ShellHWDetection LocalSystem
SicltNT LocalSystem
smstsmgr LocalSystem
SNMPTRAP NT AUTHORITY\LocalService
Spooler LocalSystem
sppsvc NT AUTHORITY\NetworkService
sppuinotify NT AUTHORITY\LocalService
SSDPSRV NT AUTHORITY\LocalService
SstpSvc NT Authority\LocalService
STacSV LocalSystem
stisvc NT Authority\LocalService
StorSvc LocalSystem
swprv LocalSystem
SysMain LocalSystem
s_eburo LocalSystem
TabletInputService LocalSystem
TapiSrv NT AUTHORITY\NetworkService
TeamViewer7 LocalSystem
TermService NT Authority\NetworkService
Themes LocalSystem
THREADORDER NT AUTHORITY\LocalService
TracSrvWrapper LocalSystem
TrkWks LocalSystem
TrustedInstaller localSystem
UI0Detect LocalSystem
UmRdpService localSystem
upnphost NT AUTHORITY\LocalService
UxSms localSystem
VaultSvc LocalSystem
vds LocalSystem
VSS LocalSystem
W32Time NT AUTHORITY\LocalService
WatAdminSvc LocalSystem
wbengine localSystem
WbioSrvc LocalSystem
WcesComm NT AUTHORITY\LocalService
wcncsvc NT AUTHORITY\LocalService
WcsPlugInService NT AUTHORITY\LocalService
WDDriveService LocalSystem
WdiServiceHost NT AUTHORITY\LocalService
WdiSystemHost LocalSystem
WebClient NT AUTHORITY\LocalService
Wecsvc NT AUTHORITY\NetworkService
wercplsupport localSystem
WerSvc localSystem
WfpCaptureUM LocalSystem
WinDefend LocalSystem
WinHttpAutoProxySvc NT AUTHORITY\LocalService
Winmgmt localSystem
WinRM NT AUTHORITY\NetworkService
Wlansvc LocalSystem
wlidsvc LocalSystem
wmiApSrv localSystem
WMPNetworkSvc NT AUTHORITY\NetworkService
WPCSvc NT Authority\LocalService
WPDBusEnum LocalSystem
wscsvc NT AUTHORITY\LocalService
WSearch LocalSystem
wuauserv LocalSystem
wudfsvc LocalSystem
WwanSvc NT Authority\LocalService
FTIM LocalSystem
enterceptAgent LocalSystem
--

MS imádkozhat, hogy ebből ne legyen valami mém, ami rajtuk ragad :D

a maximális hatás kedvéért rögtön egy intel AMT payloadot is injektálnék vele a leírthatatlan örökbotnetért

hajbazer not affected
2.4 not affected
coreilófasz bloathupuk maximum assdemolished

Erre tényleg csak ennyit tudok mondani:

Microsoft, mert megérdemled.

--
Disclaimer: I am not speaking on behalf of my employer, this is my personal opinion
zrubi.hu

Hízó bitcoinra cserélhető! :)

Már tegnap is kint volt a javitás, magától települt a virusadatbázissal egyidőben.
https://technet.microsoft.com/en-us/library/security/4022344

Na tessék! Sejtettem, hogy előbb-utóbb valaki összezavarja a HUP-ot a tényekkel... :D

Üdv,
Marci

És ezt is a Google-nek köszönhetjük.

--
trey @ gépház

Imo a Google-nél dolgozik? Nem tudtam...

Üdv,
Marci

Szerintem Imo - bár minden bizonnyal kiváló szakember - e hiba felfedezéséhez kevés lenne. Én a Google alkalmazásában álló biztonsági szakemberekre gondolok, akik voltak szívesek jelezni a Microsoftnak ezt a hibát. De te ezt szerintem pontosan tudod...

--
trey @ gépház

Terelés, Level 1000 :)

Szerintem ezt nem ebbe a szálba szántad, itt másról volt szó eddig.

Üdv,
Marci

Csak a szokásos, az origo-n is már kint volt a hir a javitásról, amikor a "szakemberek" itt még a "microsoft, mert megérdemled"-et nyomták. :)

Sajnos az, hogy "a javítás kinn van" még nem teszi kevésbé kínossá a sztorit. Max. neked lehet gyógyír a lelkedre.

--
trey @ gépház

Kétségtelen! Csakhogy itt arról a kettős mércéről beszélünk, amit a hírszerkesztésben alkalmazol, számomra érthetetlen okból: "A hibát február 17-én javították". Ami az Ubuntunál példás, az a Microsoftnál kínos a Te tálalásodban...

Üdv,
Marci

Pontosan.

A kínos az az, hogy ezért én - és még sokan mások - pénzt adtak. Az Ubunutu-t pedig csupán a licencfeltételekért elfogadásáért cserébe INGYEN használhatja, aki AKARJA.

MS csapattól cserébe kaptunk olyan NEM KÉRT szolgáltatásokat, amik LEVAKARHATATLAN részét képezik eme csodálatos terméknek, arra hivatkozva, hogy ez az ÉN (azaz az ügyfél) érdekében van, és ugyanezért egyből levakarhatatlan is. Különösen kínos, hogy ez a bizonyos kötelező szolgáltatás, pont az internet kártevőitől hivatott minket ügyfeleket megóvni - miközben REMOTE ROOT exploit-ot tartalmaz. Azt itt már ne is feszegessük, hogy ez szimplán egy hiba eredménye, vagy szándékos backdoor... Mert ugye a forrása zárt, így maximum elhihetjük a marketingesek által publikált rizsát.

Persze engem, mint - kényszer ügyfelet - viszonylag kevéssé érint érzékenyen a dolog, mert esetemben csak játékra való ez az oprendszernek nevezett izé.

Azonban vannak itt igen nagy cégek is, akik imidzsüket nem féltve - vagy akár pont emiatt büszkén felvállalják, hogy ők biza az MS vackait VÁLASZTOTTÁK. Ők bizony (nem először) teli torokra vették azt a bizonyos szerszámot amit eme kedves ámerikai vállalat a szájukba tolt.
Persze őket én személy szerint nem sajnálom, mert ugye megérdemlik ;)

De ettől a tények még tények maradnak, és azok bizony elég makacs dolgok néha.

Szerintem.

--
zrubi.hu

Mi köze ennek trey kettős mércéjéhez?

Üdv,
Marci

a hozzászólásod "ami a Microsoftnál kínos" részére igyekeztem reagálni.
De nyilván én is elfogultan ;)

--
zrubi.hu

Talán elkerülte a figyelmedet, hogy én már előbb egyetértettem: azt írtam, hogy kétségtelenül kínos.

Üdv,
Marci

akkor, ugy tűnik én csak megerosítettem ezt :)

--
zrubi.hu

Sajnos az érvelésed tartalmi részére már nem vonatkozik ez a varázsos összhang. Pl:

Te: "Ők bizony (nem először) teli torokra vették azt a bizonyos szerszámot amit eme kedves ámerikai vállalat a szájukba tolt."

Tény: "Typically, no action is required of enterprise administrators or end users"

Jó lett volna pont ennyire "teli torokra venni" a Blaster-Nachi-Sasser-Slammert... ;)

Üdv,
Marci

Szóval szerinted csak a peccseléssel/workarouddal való munka a szívás??
Az nem, hogy esetleg emiatt visszamenőleg tengernyi logot/gépet kell elemezni, hogy megpróbáljuk kideríteni ki és mire használta az eddig ott tátongó lyuka(ka)t??

Persze lehet olyan hozzáállással is, hogy nem olvasunk híreket, csak örülünk a peccsnek (ha épp van!), és bízunk benne, hogy a peccselés előtt nem volt kihasználva az adott kiskapu/nagykapu/hátsókapu...

BTW: Ez most az Intel "bakival" karöltve igen izgalmas és érdekes móka ám...
(Nem lennék a manágerek helyében, akiknek ezt az ügyfelek felé ki kell magyarázni)

--
zrubi.hu

Szerintem a managerek sűrűn hallgatnak erről, mint ahogy sűrűn hallgatnak bármilyen data-breach-ről meg miegyébről amíg valaki rá nem jön és ki nem kényszeríti hogy bevallják. Lásd yahoo, és számtalan többi eset.
--
:wq

"emiatt visszamenőleg tengernyi logot/gépet kell elemezni"

Én azt hittem, hogy a biztonsági felügyelet folyamatos dolog, nem tudtam, hogy utólag és csak ilyen esetben kell csinálni. Mondjuk nem is vagyok Senior Security Engineer...

Üdv,
Marci

Amúgy is csak három évnyi logot kell átnézni, az 1991-2014 közöttieket már átnéztük az X sebezhetőség kapcsán. :)

Persze, folyamatos.
De amíg nem tudod mit keress, addig nem biztos, hogy megtalálod ;)

Ilyen esetek után, amikor már pontodsan tudod mit kell keresni, bizony utólag újra kell vizsgálni őket, specifikusan az adott problémára fókuszálva. Az ilyen vizsgálat jó esetben azt is megmutatja, hogy kik és mikor tudták/használták az adott exploitot MÉG MIELŐTT az publikálva lett volna...

De persze biztos mindenki másképp csinálja. :)

--
zrubi.hu

Amennyire értem a dolgot - ha kicsit elhanyagoljuk a Windows Server 2016-ot és a SharePoint-ok ForeFront védelmét - akkor ez a Microsoft kliens oldali vírusvédelmi eszközeit érintő sebezhetőség, mely tetszőleges bonyolultságban becsomagolt Javascript-nek látszó szövegeken keresztül használható ki, távoli root hozzáféréshez juttatva a támadót. Az exploit gyakorlatilag bármilyen felületen bejuttatható (file, email, weblap, hálózati kommunikáció stb.), a payload pedig nyilván nagyjából szabadon választott.

Csak amatőr kíváncsiság, de mégis érdekel, hogy Te ezen konkrét eset után pontosan mit kezdesz keresni, vizsgálni, mi az, amiről úgy látod, hogy specifikus erre a problémára?

"kik és mikor tudták/használták az adott exploitot MÉG MIELŐTT az publikálva lett volna" - úgy érted, hogy a Google használhatta? Vagy valakik ellophatták az exploitot a Google-től? Vagy a Google adhatta oda másnak?

Üdv,
Marci

"ezen konkrét eset után pontosan mit kezdesz keresni, vizsgálni"

Jah, eső után köpönyeg. Előtte kellett volna. Fuzzer és társaival.

--
trey @ gépház

Idézet:
"kik és mikor tudták/használták az adott exploitot MÉG MIELŐTT az publikálva lett volna" - úgy érted, hogy a Google használhatta? Vagy valakik ellophatták az exploitot a Google-től? Vagy a Google adhatta oda másnak?

Az, hogy a Google volt az első, aki bejelentette, hogy megtalálta, és elmondta az Microsoftnak, az nem jelenti azt, hogy a Google-től függetlenül korábban nem találta meg más, aki publikálás helyett eladta/kihasználta.

Az állítás nem az volt, hogy más is kihasználhatta a sebezhetőséget (egyébként nyilván igen), hanem, hogy "használták az adott exploitot". Mivel azt a Google alkalmazottja írta, a kérdésem továbbra is nyitott.

Üdv,
Marci

Értem.

Igazad van, bár itt már csak a szavakon lovaglunk.

Én úgy gondoltam, hogy bár zrubi exploitot írt, de sebezhetőségre gondolt.

De most már nem találgatok, majd ő leírja, mire gondolt :-)

Így volt, jól gondoltad :)
A sebezhetőség kihasználására gondoltam, nem a konkrét expoit használatára.

--
zrubi.hu

Nem mertem feltételezni...

Üdv,
Marci

"[...] az útikalauz szerkesztőit beperelték azok a családok, amelyek hozzátartozói amiatt hunytak el, hogy szó szerint vették a Traal bolygóra vonatkozó bekezdést (mely így szólt: "A mohó bogárpattintó fenevad kedvelt eledele a turistának", ahelyett hogy így szólt volna: "A mohó bogárpattintó fenevad kedvelt eledele a turista") [...]"

Csak amatőr kíváncsiság, de mégis érdekel, hogy Te ezen konkrét eset után pontosan mit kezdesz keresni, vizsgálni, mi az, amiről úgy látod, hogy specifikus erre a problémára?

Pl. az eddigi folyamatosan vizsgálat (SIEM) által gyanúsnak vélt munkaállomásokat újra vizsgáljuk, karanténba tesszük, restage-eljük akár annak ellenére is, hogy a korábbi vizsgálatok nem találtak "bizonyítékot". "Komolyabban" vesszük a backdoor gyanús eseteket, és ezeket is újra vizsgáljuk.

Persze nincs rá semmi garancia, hogy találunk bármit is, azonban a mikrofossal ellentétben mi azt nem tehetjük meg, hogy azt modjuk semmi gond, hiszen már kint van a peccs...

--
zrubi.hu

Köszönöm, de semmi erre az ügyre specifikusat nem írtál.

Üdv,
Marci

Mit jelent az, hogy no action required? Azt, hogy most már ki van javítva, és a javítás automatikusan települ?

De korábban azért ki lehetett ezt használni, amíg nem volt kijavítva. Ugye?

"Mit jelent az, hogy no action required? Azt, hogy most már ki van javítva, és a javítás automatikusan települ?"

Igen.

"De korábban azért ki lehetett ezt használni, amíg nem volt kijavítva. Ugye?"

Igen.

Üdv,
Marci

A sztori kínosságát nem ez adja, hanem a széles mellel trombitált "Microsoft a security császára" vs. SYSTEM joggal futó, alapértelmezetten ott levő víruskergető + az, hogy ezeket házon belül nem látszólag a kutya nem auditálja, egy külsős, konkurens cégnek kell felhívni rá a figyelmet. A legnagyobb szoftvergyártónál.

Ez a kínos. Az meg, hogy javították ennyi idő alatt, az példás, csak ennek magától értetődőnek kellene lennie.

A local root vs. remote system témába pedig bele se menjünk. Zongorázni lehet a különbséget.

--
trey @ gépház

most az, hogy teri össze-vissza hablatyol a héten épp aktuális iPaq-ja márkájának függvényében az nem épp újkeletű factoid

különben elég sportszerűtlen földön vergődő alanyt rugdosni, bár én jóváhagyom mert marha szórakoztató

--
lol @ #rektház

"érdekes ez az állandó anális fixáció itt a hupon" - látom szakértője és kedvelője vagy a témának. okát nem is firtatom.

Valami a témához? Imo kedvéért: "Őrületes sebezhetőséget foltoztak a Microsoft vírusirtójában"

--
trey @ gépház

...éés a főhupu is buzulásba kezdett, ha már a híres kettős mércéjével (újfent) beégett, remek.

>Valami a témához?

de micsi, eltévesztetted a threadet, ez itt rólad szól

Nagyon izzadtságszagú (majdnem segget mondtam), ami felőled árad. Buzulásba kezdtem? A te témád folyamatosan, erre mutattam rá. Igazi terelőgép vagy, de szerencsére van hozzá félnótás közönséged, úgyhogy hadd kívánjak sok sikert a tevékenységedhez. Kell is, mert eddig nem sok mindenre vitted vele. Ez meg rólad szól. Így, ha nincs semmi a témához, akkor részemről itt a vége veled.

Az egyikőtöket, hogy a világ IT oldalain virít az ordas hiba és ettől zeng szombat óta az internet.

--
trey @ gépház

>majdnem segget mondtam

nem kétlem

>erre mutattam rá

bennyh = szegecs? idén korán kezdődik a gombaszezon úgy tűnik

Hát, az biztos, hogy nagyon kinos, hogy az origon már le van irva a javitás ténye, nálad még most sincs, miután felhivtam rá a figyelmedet.
Nem mintha mást vártam volna.

Hagyjuk már ezt a már javítva van farok lóbálást(terméktől függetlenül). Inkább azon kéne gondolkodni, hogy eddig hányan, meg mire használták ki a hibát, vagy hogy és mikor került bele. Mindig mindenki a javítás már kint van témára veri, de az csak másodlagos szerintem(< kibic, nyikhaj, újonc, fogalmatlan).

>micskó gábor mindig a javítás már kint van témára tveri

sajnos +1

Nem emlékszem, hogy a linuxos orbitális lyukak esetén hőbörögtél volna, amikor Trey és a többi "szakértő" erre verte magát, hogy de gyorsan javitva lett. Ott valahogy nem merült fel, hogy hányan és mire használták ki, az adott esetben egy évtizede tátongó linuxos lyukakat...

De engem nagyon érdekel, hozzál légyszi példákat a vadonból, kik és mire használták ki ezt a lyukat, aminek a részletei nem is lettek nyilvánosságra hozva. Biztos tudsz példákat.

Hátradőlök, mert ez popcornos lesz! :D

"De engem nagyon érdekel, hozzál légyszi példákat a vadonból, kik és mire használták ki ezt a lyukat, aminek a részletei nem is lettek nyilvánosságra hozva. Biztos tudsz példákat."

Szegecs szerint ez maszatolás.

--
trey @ gépház

Töröld meg a könnyes szemeidet, fújd ki az orrod, végy egy nagy levegőt. Fújd is ki. Ezután olvasd el a szálat amit trey linkelt. Ha elernyedtél kicsit, akkor jó.

Konkrét példákat meg nem tudok kihasználásra :), mert csak izzadságszagúan hőbörgök össze-vissza. Már csak ilyen vagyok.

Amúgy meg: Éljen! JAVÍTOTTÁK! Fuck linux! Suck Android! Grr Google! <3 MS! Hurrá!

Lazán kapcsolódik. Ezt az Ars cikket olvasva...
> This wouldn't necessarily be a problem if AV makers made secure software, but for the most part they don't (except for Windows Defender, because Microsoft is "generally competent," according to O'Callahan).
Akkor a többiek vajon mennyire kompetensek...
--
:wq

A legrosszabb nem ez, hanem az, hogy a Microsoft ajánlása szerint KELL AV a Windowsra. Próbáld ki, hogy nem teszel rá. Nekiáll siránkozni. Ha a Microsoft ajánlásai szerint jársz el, teszel rá.

Ha nem teszel, majd ő bekapcsolja neked a sajátját!

--
trey @ gépház

A vírusvédelem szüksége leginkább a platform idejétmúlt architektúrájából származik.
Másik oldalról, amikor a Microsoft n. alkalommal nekifog, hogy a Win32 aggastyánt a modernitás felé terelje, akkor meg megy az értetlenkedés.
Lásd Windows 10 S...

Pedig a Store-on keresztüli, UWP-re konvertált desktop app terítés korántsem ördögtől való.
-egyszerűbb csomagkeresés és telepítés
-automatikus frissítések
-a fejlesztőknek egyszerűbb monetizálás lehetősége
-biztonságilag ellenőrzött csomagok telepítése
-sandboxolt futtatókörnyezet

Még a végén megérhetnénk, hogy Windows-ra ne kelljen víruskergető...

Üdv,
Marci

Ezzel egyetértek, a sok linuxos év után amikor néha ritkán windows-szal kell járjak a setup.exe-és telepítgetés nagyon primitívnek és kényelmetlennek tűnik.
Nade 30%-ot kérni egy csomag árából csak azért, hogy a Store-ban legyen amikor van ingyenes alternatíva (setup.exe)... Ki fogja azt bevállalni?
Én értem, hogy ez teljesen normális és így működnek az App Store-ok de windows-szon nem így van nevelve a nép.
--
:wq

Nem vagyok benne biztos, de úgy rémlik, hogy a 30 (később 20) százalékot csak akkor kell fizetni, ha a pénzügyeket a Store-on keresztül intézed. Ha a out-of-channel árusítod a cuccot, a Store-ból letöltött app pedig már csak kulcsot/logint/akármit kér, akkor emlékeim szerint nincs ilyen kikötés.

+1

Üdv,
Marci

Az nagyon kafa, amikor keresel ingyenes appot, majd miután felteszed derül ki, hogy "kulcsot/logint/akármit kér", amit vehetsz meg külön :)

En jobban orulnek neki, ha nem kenyszeritenek ram a Windows Store es barmelyik programot tudnam sandboxba futtatni...

Arrol meg, hogy mennyire ellenorzott a Windows Store: https://twitter.com/Gabriel__Lewis/status/860019017238446080

"barmelyik programot tudnam sandboxba futtatni..."

Évtizede ott az App-V.

"ellenorzott a Windows Store"

Ez mind malware?

Üdv,
Marci

> Arrol meg, hogy mennyire

Micsoda szerencse, hogy ez egy centralizált Store, így a Google-nek elég egy bejelentést tenni, nem kell külön felkeresni a fejlesztőket. :D

Kérdés, hogy miért nem teszi meg senki. Kérdés, hogy miért van tele ilyenekkel a store (miért kerül fel alkalmazásként egy user guide névre hallgató valami)