[url]http://www.securelist.com/en/blog/2234/Stuxnet_and_stolen_certificates[/url] ТАДАМЦ!
Хороните "белые списки". Вэлкам эвристика и сигнатуры
Printable View
[url]http://www.securelist.com/en/blog/2234/Stuxnet_and_stolen_certificates[/url] ТАДАМЦ!
Хороните "белые списки". Вэлкам эвристика и сигнатуры
Ну почему "хороните"? Те, что основаны на хешах, работают нормально.
А ЭЦП, получается, доверять нельзя уже..
[QUOTE=ALEX(XX);673516][url]http://www.securelist.com/en/blog/2234/Stuxnet_and_stolen_certificates[/url] ТАДАМЦ!
Хороните "белые списки". Вэлкам эвристика и сигнатуры[/QUOTE]
А вот и русс: [url]http://www.securelist.com/ru/blog/32850/Stuxnet_i_ukradennye_sertifikaty[/url]
а как работает [URL="http://www.securitylab.ru/poc/395903.php"]эксплоит[/URL]? :scratch_one-s_head:
хотела глянуть что произойдет, но ничего не вижу :)
отображение ярлыков не отключала, службу webdav не останавливала
Надо скачать DebugView и в нём уже смотреть вывод бибилотеки. Ещё одна особенность- dll.dll добжна быть помещена в c:\
Люди самостоятельно накатали патчик...
[url]http://nemesis.te-home.net/News/20100722_Update_for_shell32_dll_patch_for_XP_SP2_and_SP3.html[/url]
[QUOTE='Kuzz;675191']Люди самостоятельно накатали патчик...
[url]http://nemesis.te-home.net/News/2010...2_and_SP3.html[/url][/QUOTE]
а чем он лучше [URL="http://virusinfo.info/showthread.php?t=83580"]утилиты[/URL] от M$? :)
Тем, что это именно патч. Т.е. правит shell32.dll
Исходник в комплекте)
Кто-нибудь проверял его, работает ?
Для вин2к - ХР до сп2 это, похоже, будет единственный правильный выход.
[size="1"][color="#666686"][B][I]Добавлено через 29 секунд[/I][/B][/color][/size]
Т.е. это установит пол-страны как минимум.
Надо бы разобрать, что оно изменяет/привносит..
[size="1"][color="#666686"][B][I]Добавлено через 53 минуты[/I][/B][/color][/size]
Хм, скорее всего там делается что-то подобное [url]http://habrahabr.ru/blogs/infosecurity/99732/#comment_3081385[/url]
Microsoft изменила ранее опубликованное уведомление безопасности, добавив два новых вектора эксплуатации уязвимости:
1. Internet Explorer. Злоумышленник может с помощью специально сформированного Web сайта заставить браузер пользователя загрузить иконку для ярлыка и выполнить вредоносный код на целевой системе.
2. Документы Office. Злоумышленник может встроить специально сформированный ярлык в документ Microsoft Office (или другого офисного пакета, поддерживающего работу со встроенными ярлыками) и скомпрометировать целевую систему.
Это говорит о том, что в скором времени можно ожидать распространение эксплоита через вложенные файлы в email сообщениях.
[URL="http://www.securitylab.ru/analytics/395926.php"]отседа[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
PS: А тэпэр - ПРОПЭЛЛЭР!
Да, дыру еще по сути не начали эксплуатировать, только засветили.
Есть время от недель до пары месяцев до эпидемии. Как обычно.
[QUOTE=ALEX(XX);670484][B]Юльча[/B], это баг в винде, дыра.. Поэтому сработает[/QUOTE]
судя из [URL="http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/"]этого[/URL] - не сработает..
только придется политику ужесточить
это с хабра по ссылочке [B]Kuzz[/B]:
[QUOTE]Еще по теме противодействия этой уязвимости можно почитать в блоге независимого исследователя Didier Stevens. Там описывается два способа:
1) Запрет [URL="http://blog.didierstevens.com/2010/07/18/mitigating-lnk-exploitation-with-ariad/"]автозапуска[/URL] и выполнения исполняемых модулей с внешних носителей. Но это вас не спасет от возможности заражения с сетевых шар и WebDAV ссылки.
2) [URL="http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/"]Установка[/URL] Software Restriction Policies (SRP) [/QUOTE]
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
... хоть не придется на работе пользователям иконки резать ..
[size="1"][color="#666686"][B][I]Добавлено через 47 минут[/I][/B][/color][/size]
[QUOTE='ALEX(XX);675720']2. Документы Office. Злоумышленник может встроить специально сформированный ярлык в документ Microsoft Office (или другого офисного пакета, поддерживающего работу со встроенными ярлыками) и скомпрометировать целевую систему.[/QUOTE]
а openoffice работает со встроенными ярлыками? :?
[QUOTE='Юльча;675746']а openoffice работает со встроенными ярлыками? [/QUOTE]
А вот это и мне интересно знать...
И для тех, кто еще не видел, еще 3 части Мирт и гуава
[url]http://www.securelist.com/ru/blog/34302/Mirt_i_guava_Epizod_3[/url]
[url]http://www.securelist.com/ru/blog/34307/Mirt_i_guava_Epizod_4[/url]
[url]http://www.securelist.com/ru/blog/34310/Mirt_i_guava_Epizod_5[/url]
[B]Юльча[/B], на Инфре не Вы отписались в теме про ОО и ярлыки? :)
я :yes3:
для меня проблема тоже актуальна :smile2:
зы.
и кстати нас там дружно "послали" на антивирусный форум :D
упоротые какие-то. :( Я им про Ивана, они мне про барана
[CENTER][B]Уязвимость Windows, связанная с ярлыками, будет закрыта в понедельник 2 августа[/B][/CENTER]
Microsoft сообщает что нашумевшая уязвимость Windows, связанная с некорректной обработкой ярлыков, будет закрыта внеплановым обновлением в понедельник 2 августа. Бюллетень по поводу этой уязвимости был опубликован 16 июля.
[INDENT][RIGHT][URL="http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx"]technet.com[/URL][/RIGHT][/INDENT]