Exploit demonstriert kritische Windows-LNK-Lücke

-> Heise Security (http://www.heise.de/newsticker/meldung/Exploit-demonstriert-kritische-Windows-LNK-Luecke-1039997.html)

-> Exploit (http://www.ivanlef0u.tuxfamily.org/?p=411) (Anleitung auf französisch)

-> Microsoft Schutzmaßnahme (http://www.microsoft.com/technet/security/advisory/2286198.mspx)


Noch nicht getestet...

cya meckl

Spätestens in ein paar Tagen bringt Microdoof ein neues Update raus :D

The Stuxnet Sting - Microsoft Malware Protection Center - Site Home - TechNet Blogs (http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx)
----
http://www.securelist.com/en/blog/269/Myrtus_and_Guava_Episode_1
http://www.securelist.com/en/blog/271/Myrtus_and_Guava_Episode_2
http://www.securelist.com/en/blog/272/Myrtus_and_Guava_Episode_3
----
http://www.symantec.com/connect/blogs/w32temphid-commonly-asked-questions
-------
http://www.microsoft.com/technet/security/advisory/2286198.mspx

Spätestens in ein paar Tagen bringt Microdoof ein neues Update raus :D

Der Patch Day von Microsoft ist immer am zweiten Dienstag jedes Monats.
Der letzte war am letzte Woche am 13.07. der nächste wird dann am 10.08. sein...

Ich teste es grade mal...
Also es wird mir beim Debugger auch SUCKM3 from explorer.exe Mothafucker angezeigt..
Nur wie sollte man über diese suckme Datei einen beliebiges Programm starten lassen?
Und bei heise steht: "Der Schadcode lässt sich auch via WebDAV oder Netzwerkfreigaben über das Netz ausführen, er muss sich hierzu nicht auf einem lokalen Datenträger befinden".
Wie wäre es mit Hamachi oder Tungle etc :D

In der Datei steht Programmcode, welcher diesen Text anzeigen lässt. Alternativ könntest du aber auch einen anderen Programmcode einfügen, z.b. zum adden von benutzern, zum downloaden und starten von backdoors usw.
Der Code kann überall missbraucht werden, wo eine .lnk datei angezeigt wird.

Die Lücke scheint auf W7 aber schon geschlossen zu sein.
Nur auf meiner XP VM hats noch funktioniert.

@Shadowstyle (http://free-hack.com/member.php?u=44915)
In der "dll.dll" steht der OutputDebugString aufruf, der diesen String im Debugger erscheinen lässt.


10001000 /$ 8B4424 08 MOV EAX,DWORD PTR SS:[ESP+8]
10001004 |. 83E8 01 SUB EAX,1
10001007 |. 75 0B JNZ SHORT dlllol.10001014
10001009 |. 68 20810010 PUSH dlllol.10008120 ;/String = "SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!"
1000100E |. FF15 00800010 CALL DWORD PTR DS:[<&KERNEL32.OutputDebugStrin>; \OutputDebugStringA
10001014 |> B8 01000000 MOV EAX,1
10001019 \. C2 0C00 RETN 0C


An Adresse 10001009 kannst du jetzt deinen eigenen Code assemblieren, der z.B. eine Website aufruft und Malware downloadet + ausführt etc. Eben all das, was deine ASM Skills so hergeben. ;)

Als Beispiel: Download: dll.rar | xup.in (http://www.xup.in/dl,72292098/dll.rar/)

Habe ich grade zusammengebastelt. Ist natürlich nichts bösartiges. Nur ein kleiner Spaß. ;)
Einfach mit der alten dll.dll ersetzen.

Stell mir grade vor was der nichtsahnende User für ein Gesicht macht wenn er einfach nur schauen will, was er so alles auf "C:\" rumliegen hat. :D

Probierts mal aus ;D

MfG DizzY_D

Eigentlich dachte ich immer, das bestimmte Lücken in den Aktuellen Windows-Versionen Simultan geschlossen werden. Aber das ist eben typisch für Microsoft...