LINUX.ORG.RU
ФорумTalks

[ОН][Дуршлаг][Мышки][Кактус]Венду в очередной раз былинно поимели.

 ,


0

1

!Ъ: http://www.securitylab.ru/news/409560.php

Ъ:

Duqu поражает Windows с помощью 0-day уязвимости

Исследователи CrySyS обнаружили файл MS Word, устанавливающий на систему Duqu с помощью уязвимости нулевого дня.

Исследователи Laboratory of Cryptography and System Security (CrySyS) провели анализ троянской программы Duqu и обнаружили, что для компрометации систем она использует ранее неизвестную уязвимость в Microsoft Windows.

Сотрудники лаборатории CrySyS поделились своей находкой с Microsoft и другими компетентными организациями, призывая всех профессионалов объединиться с целью борьбы против новой киберугрозы. После публикации CrySyS, специалисты Symantec в блоге компании описали подробную структуру эксплоита. В Symantec подтвердили информацию о том, что специалисты Microsoft уведомлены об обнаруженной уязвимости. В настоящее время нет способов устранения уязвимости, эксплуатируемой Duqu.

По данным Symantec, содержащий эксплоит файл был создан таким образом, что не остается сомнений в его нацеленности именно на ту компанию, системы которой он должен был поразить. Строение шеллкода трояна позволяло скомпрометировать систему только на протяжении 8 дневного окна в августе текущего года.

В процессе анализа инцидента было обнаружено, что конфигурационные файлы Duqu на некоторых системах содержали настройки, не позволяющие осуществлять непосредственное подключение к командным серверам. Вместо этого, программа использовала специальный протокол для обмена файлами с другой скомпрометированной системой, которая имела доступ к командному серверу. Таким образом, Duqu создает мост между внутренними серверами сети и командным сервером. Это позволяет злоумышленникам подключаться к зараженным Duqu системам внутри безопасной зоны с помощью компьютеров, находящихся за пределами этой зоны, и использовать их в качестве прокси.

Вирус получал команды с сервера управления, находящегося в Бельгии. Благодаря действиям сотрудников местного интернет-провайдера, этот командный сервер был отключен.

По мнению исследователей центра Dell SecureWorks, Duqu может быть не связан с Stuxnet. «Как Duqu, так и Stuxnet являются очень сложными программами с множеством компонентов. Вся схожесть, с точки зрения программы, состоит в компоненте «инъекции», реализованном в драйвере ядра. Пейлоады Duqu и Stuxnet существенно отличаются друг от друга», - говорится в отчете SecureWorks.

Уведомление компании Symantec можно просмотреть здесь.

Напомним, вирус Duqu впервые был зафиксирован приблизительно месяц назад. Сходство исходного кода основного компонента вируса с аналогичным компонентом трояна Stuxnet, нарушившего работу ядерной промышленности Ирана, заставило ведущих исследователей в области безопасности предположить, что оба вируса были разработаны одной и той же группой программистов.



Последнее исправление: Saloed (всего исправлений: 1)

Можно ссылку на статью какой-нибудь вики с описанием уязвимости нулевого дня?

CYB3R ★★★★★
()

Шеллкодируем сплоет в 0day.

Bad_ptr ★★★★★
()
Ответ на: комментарий от drBatty

Это такой намёк на качество кода в линуксах. Если его доля на десктопах поднимется выше ~10% — появятся и 0-day, и эксплойты.

wintrolls ☆☆
()

Он уже 100500 раз наступил, ждем следующего.

TGZ ★★★★
()
Ответ на: комментарий от CYB3R

Обновление придёт во вторник, 8 ноября. До этого момента никто публично описание уязвимости выкладывать не будет.

anonymfus ★★★★
()
Ответ на: комментарий от wintrolls

>Это такой намёк на качество кода в линуксах. Если его доля на десктопах поднимется выше ~10% — появятся и 0-day, и эксплойты.

дык и ладно. Зачем использовать дырявые программы? Вы намекаете, что они ВСЕ такие? Это ложь. Найдите дыру в текущем ядре для начала, ведь только ядро есть у всех. Да и то - у всех разные ядра ваще-то. А бинарный эксплоит подходит только к _данному конкретному_ ядру. Со всеми патчами (которых 100500, и в любом дистре свои. Даже в слаквари давно уже не ванильное ядро)

drBatty ★★
()
Ответ на: комментарий от wintrolls

>Кстати, там не указаны версии венды, в которых есть эта дырка.

Там не указаны, но указаны у MS:
http://technet.microsoft.com/en-us/security/advisory/2639658

Affected Software
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2**
Windows Server 2008 for x64-based Systems Service Pack 2**
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems and Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems and Windows Server 2008 R2 for x64-based Systems Service Pack 1**
Windows Server 2008 R2 for Itanium-based Systems and Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Tigger ★★★★★
()
Ответ на: комментарий от anonymfus

>Обновление придёт во вторник, 8 ноября.

на венду ничего 8 ноября не придет. или вы про линукс?

Karapuz ★★★★★
()

>с помощью 0-day уязвимости

Строение шеллкода трояна позволяло скомпрометировать систему только на протяжении 8 дневного окна в августе текущего года.

янифиганепонел.bmp

kranky ★★★★★
()
Ответ на: комментарий от CYB3R

Нет, конечно же этого однофамильца графа Дуку!

XVilka ★★★★★
()

>MS has traced the Duqu zero-day to a vulnerability in font parsing in win32k. Many file formats like HTML, Office, and PDF support embedded fonts, and in NT4 and later fonts are parsed in kernel mode

Это оно?

Deleted
()

кстати

трояна Stuxnet, нарушившего работу ядерной промышленности Ирана

Иранские атомщики ССЗБ

ptah_alexs ★★★★★
()
Ответ на: комментарий от ptah_alexs

Ну да... Мышки плакали, терпели колоссальные убытки, но продолжали юзать выньтуз.

Saloed
() автор топика
Ответ на: комментарий от wintrolls

> Это такой намёк на качество кода в линуксах. Если его доля на десктопах поднимется выше ~10% — появятся и 0-day, и эксплойты.

Да прям. Как будто до этого в ядре линукса уязвимости не находили и эксплойты не писали.

Вот сходу последнее что помню -
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3904

на себе проверял, рута получало

Harald ★★★★★
()
Ответ на: комментарий от izmena

Нет, всё грозит всем, у кого в системе есть шрифты.

wolfy
()
Ответ на: ОН отменяется от wintrolls

Ни в одном нормальном дистрибутиве той баги не было, она была только в апстриме. Дистрибутивы просто выкидывали тот суидный бинарь к чертям из пакетов, без него тоже всё работало.

ChALkeR ★★★★★
()
Ответ на: комментарий от ChALkeR

>Да и в дистрибутивах бага была закрыта. См выше.

этта не ко мне.

drBatty ★★
()

>Венду в очередной раз былинно поимели.

Удовольствия вам, тем кто имеет венду.

nihil ★★★★★
()
Ответ на: комментарий от nihil

>Удовольствия вам, тем кто имеет венду.

это она их имеет

drBatty ★★
()

Stuxnet был написан по заказу ЦРУ и(или) Пентагона, специфика червя на это явно указывает, инфа 100%, что было целью Duqu?

coldy ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.