Exploit demonstriert kritische Windows-LNK-Lücke

[meckl]

Exploit demonstriert kritische Windows-LNK-Lücke

-> Heise Security

-> Exploit (Anleitung auf französisch)

-> Microsoft Schutzmaßnahme


Noch nicht getestet...

cya meckl

[affe22]

Spätestens in ein paar Tagen bringt Microdoof ein neues Update raus

[wacked]

The Stuxnet Sting - Microsoft Malware Protection Center - Site Home - TechNet Blogs
----
http://www.securelist.com/en/blog/26...uava_Episode_1
http://www.securelist.com/en/blog/27...uava_Episode_2
http://www.securelist.com/en/blog/27...uava_Episode_3
----
http://www.symantec.com/connect/blog...sked-questions
-------
http://www.microsoft.com/technet/sec...y/2286198.mspx

[meckl]

Spätestens in ein paar Tagen bringt Microdoof ein neues Update raus

Der Patch Day von Microsoft ist immer am zweiten Dienstag jedes Monats.
Der letzte war am letzte Woche am 13.07. der nächste wird dann am 10.08. sein...

[Shadowstyle]

Ich teste es grade mal...
Also es wird mir beim Debugger auch SUCKM3 from explorer.exe Mothafucker angezeigt..
Nur wie sollte man über diese suckme Datei einen beliebiges Programm starten lassen?
Und bei heise steht: "Der Schadcode lässt sich auch via WebDAV oder Netzwerkfreigaben über das Netz ausführen, er muss sich hierzu nicht auf einem lokalen Datenträger befinden".
Wie wäre es mit Hamachi oder Tungle etc

[Rifler]

In der Datei steht Programmcode, welcher diesen Text anzeigen lässt. Alternativ könntest du aber auch einen anderen Programmcode einfügen, z.b. zum adden von benutzern, zum downloaden und starten von backdoors usw.
Der Code kann überall missbraucht werden, wo eine .lnk datei angezeigt wird.

[DizzY_D]

Die Lücke scheint auf W7 aber schon geschlossen zu sein.
Nur auf meiner XP VM hats noch funktioniert.

@Shadowstyle
In der "dll.dll" steht der OutputDebugString aufruf, der diesen String im Debugger erscheinen lässt.

Code:

10001000  /$  8B4424 08             MOV EAX,DWORD PTR SS:[ESP+8]
10001004  |.  83E8 01               SUB EAX,1
10001007  |.  75 0B                 JNZ SHORT dlllol.10001014
10001009  |.  68 20810010           PUSH  dlllol.10008120                 ;/String = "SUCKM3 FROM  EXPLORER.EXE MOTH4FUCKA #@!"
1000100E  |.  FF15 00800010         CALL DWORD PTR  DS:[<&KERNEL32.OutputDebugStrin>; \OutputDebugStringA
10001014  |>  B8 01000000           MOV EAX,1
10001019  \.  C2 0C00               RETN 0C

An Adresse 10001009 kannst du jetzt deinen eigenen Code assemblieren, der z.B. eine Website aufruft und Malware downloadet + ausführt etc. Eben all das, was deine ASM Skills so hergeben.

Als Beispiel: Download: dll.rar | xup.in

Habe ich grade zusammengebastelt. Ist natürlich nichts bösartiges. Nur ein kleiner Spaß.
Einfach mit der alten dll.dll ersetzen.

Stell mir grade vor was der nichtsahnende User für ein Gesicht macht wenn er einfach nur schauen will, was er so alles auf "C:\" rumliegen hat.

Probierts mal aus ;D

MfG DizzY_D

[Sawyer]

Eigentlich dachte ich immer, das bestimmte Lücken in den Aktuellen Windows-Versionen Simultan geschlossen werden. Aber das ist eben typisch für Microsoft...