Страницы

четверг, 24 января 2013 г.

Сюрприз из kernel32 для сетевых ресурсов (MS12-081, детальный разбор уязвимости в Microsoft File Handling Component)

Одиннадцатого декабря прошлого года вышел бюллетень Microsoft, связанный с уязвимостью, обнаруженной в Microsoft File Handling Component. Уязвимости был присвоен ранг критической и категория Remote code execution. Удаленное выполнение кода происходит при открытии жертвой общего сетевого ресурса с содержимым, сформированным злоумышленником особым образом. Подробности эксплуатации приводятся в данном отчете.

Результаты, были получены на Windows XP SP3 x86. Сама уязвимость находится в функциях FindFirstFileExW и FindNextFileExW библиотеки kernel32.dll, которые осуществляют копирование данных, полученных из нативной функции NtQueryDirectoryFile, с помощью memmove. Проблема заключается в том, что в качестве размера буфера-источника для функции копирования передается число, полученное из NtQueryDirectoryFile, хотя возможна ситуация, при которой размер буфера-приемника может быть меньше, чем результат выдачи NtQueryDirectoryFile.

Влияние данной уязвимости распространяется на все приложения, использующие функции семейства FindFirstFile/FindNextFile. Первым таким приложением, которое пришло мне в голову, было explorer.exe. Для эксплуатации злоумышленнику достаточно будет заставить пользователя открыть ссылку на зловредный ресурс, и при удачном исходе он сможет получить возможность исполнить код с правами пользователя, открывшего ссылку. Сценарий удаленной эксплуатации, как подсказывает раздел FAQ бюллетеня Microsoft, возможен через UNC share или через WebDAV-путь. Путь UNC (Universal Naming Convention) может указывать на сетевой ресурс обмена файлами, который работает на основе протокола SMB. Для теста был выбран Linux с сервисом Samba, который позволяет создавать «расшаренные» папки на основе этого протокола. В итоге хотелось смоделировать следующую схему удаленной атаки.


среда, 23 января 2013 г.

Анализ безопасности АСУ ТП: новые инструменты пентестера

Безопасность промышленных систем (ICS/SCADA) — актуальный тренд защиты информации. Однако зачастую при подготовке к пентесту или аудиту безопасности АСУ ТП ощущается нехватка специализированных инструментов. В этой статье мы представляем обзор последних публикаций, утилит, а также презентации экспертов Positive Technologies: все это поможет вам в обеспечении безопасности промышленных систем.

среда, 16 января 2013 г.

Эксперты Positive Technologies выступили на Chaos Communication Congress в Гамбурге

Эксперты Positive Technologies выступили на Chaos Communication Congress в Гамбурге.
Всемирный конгресс хакеров, организатором которого выступает Chaos Computer Club — одно из старейших (проводится с 1984 года) и крупнейших хакерских мероприятий Европы. В этом году двадцать девятая по счету встреча (29С3, как называют это организаторы) собрала 6000 участников, в числе которых были и представители нашей компании — Сергей Гордейчик, Глеб Грицай и Юрий Гольцев.