SGHCTomának hála megoldódott a "rejtély", a következők derültek ki:

• A hakin9 magazinban valóban le volt írva az MS10-061-es sebezhetőség, de furcsa módon a cikk szerzője sem fedezte fel a benne rejlő (távoli kódfuttatást biztosító) lehetőséget, így a cikk a helyi jogosultságkiterjesztésre ment rá, és így nekem is elkerülte a figyelmemet a dolog.
• Mint kiderült, az említett cikkben tárgyalt jogosultságkiterjesztésre alkalmas módszer nem pontosan úgy működik, ahogy le van írva. Nem a wmarkps.dll, hanem a wmarkui.dll belépési pontjára kerül SYSTEM joggal a vezérlés.
• Bár a távoli kódfuttatás lehetősége javítva lett, a jogosultságkiterjesztés még mindig működik teljesen patchelt rendszereken!

És hogy meglegyen a tanulság a mai napra is, íme, hogyan érhető el kódfuttatás fájlírással Windowson:

Az MS10-061-et kihasználó Metasploit modul nem egy, hanem két fájlírást végez: az első létrehozza magát a lefuttatandó állományt, a másik pedig az ATSVC named pipe-ot nyitja meg írásra. Ezen keresztül RPC hívások indíthatók a Windows időzítő szolgáltatása felé, vagyis az elsőnek létrehozott fájl felírható a "lefuttatandó folyamatok" listájára. Külön gyönyörű, hogy a rendszeridőt és időzónát a távoli hoszt SMB válaszában visszakapjuk a nyomtatóhoz történő csatlakozáskor :)

Szóval ennyi volt a móka, most pedig egy kicsit más vizekre evezek...