Exploit demonstriert kritische Windows-LNK-Lücke
-> Heise Security
-> Exploit (Anleitung auf französisch)
-> Microsoft Schutzmaßnahme
Noch nicht getestet...
cya meckl
Druckbare Version
Exploit demonstriert kritische Windows-LNK-Lücke
-> Heise Security
-> Exploit (Anleitung auf französisch)
-> Microsoft Schutzmaßnahme
Noch nicht getestet...
cya meckl
Spätestens in ein paar Tagen bringt Microdoof ein neues Update raus :D
The Stuxnet Sting - Microsoft Malware Protection Center - Site Home - TechNet Blogs
----
http://www.securelist.com/en/blog/26...uava_Episode_1
http://www.securelist.com/en/blog/27...uava_Episode_2
http://www.securelist.com/en/blog/27...uava_Episode_3
----
http://www.symantec.com/connect/blog...sked-questions
-------
http://www.microsoft.com/technet/sec...y/2286198.mspx
Ich teste es grade mal...
Also es wird mir beim Debugger auch SUCKM3 from explorer.exe Mothafucker angezeigt..
Nur wie sollte man über diese suckme Datei einen beliebiges Programm starten lassen?
Und bei heise steht: "Der Schadcode lässt sich auch via WebDAV oder Netzwerkfreigaben über das Netz ausführen, er muss sich hierzu nicht auf einem lokalen Datenträger befinden".
Wie wäre es mit Hamachi oder Tungle etc :D
In der Datei steht Programmcode, welcher diesen Text anzeigen lässt. Alternativ könntest du aber auch einen anderen Programmcode einfügen, z.b. zum adden von benutzern, zum downloaden und starten von backdoors usw.
Der Code kann überall missbraucht werden, wo eine .lnk datei angezeigt wird.
Die Lücke scheint auf W7 aber schon geschlossen zu sein.
Nur auf meiner XP VM hats noch funktioniert.
@Shadowstyle
In der "dll.dll" steht der OutputDebugString aufruf, der diesen String im Debugger erscheinen lässt.
An Adresse 10001009 kannst du jetzt deinen eigenen Code assemblieren, der z.B. eine Website aufruft und Malware downloadet + ausführt etc. Eben all das, was deine ASM Skills so hergeben. ;)Code:10001000 /$ 8B4424 08 MOV EAX,DWORD PTR SS:[ESP+8]
10001004 |. 83E8 01 SUB EAX,1
10001007 |. 75 0B JNZ SHORT dlllol.10001014
10001009 |. 68 20810010 PUSH dlllol.10008120 ;/String = "SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!"
1000100E |. FF15 00800010 CALL DWORD PTR DS:[<&KERNEL32.OutputDebugStrin>; \OutputDebugStringA
10001014 |> B8 01000000 MOV EAX,1
10001019 \. C2 0C00 RETN 0C
Als Beispiel: Download: dll.rar | xup.in
Habe ich grade zusammengebastelt. Ist natürlich nichts bösartiges. Nur ein kleiner Spaß. ;)
Einfach mit der alten dll.dll ersetzen.
Stell mir grade vor was der nichtsahnende User für ein Gesicht macht wenn er einfach nur schauen will, was er so alles auf "C:\" rumliegen hat. :D
Probierts mal aus ;D
MfG DizzY_D
Eigentlich dachte ich immer, das bestimmte Lücken in den Aktuellen Windows-Versionen Simultan geschlossen werden. Aber das ist eben typisch für Microsoft...