Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

...az Ötödik meg túlcsordította a kernel puffert - Frissítve

2010.11.24. 22:48 | buherator | 11 komment

Én balga rázártam a böngészőablakot a legújabb Windows privilégiumemelős bug leírására (a második a héten, és meg csak szerda van!), közben meg leszedték az oldalt, és még Google cache-ben sincs meg :,(

Szóval arról van szó, hogy a win32k.sys-ben található egyik függvény puffer túlcsordulást okoz, amenniyben egy speciális értéket tartalmazó registriy-kulcs hivatkozást adunk át neki, ami kódfuttatást tesz lehetővé SYSTEM jogkörrel. A trükk az, hogy nem minden registry kulcsot módosíthat egy sima felhasználó, valamint ha jól sejtem a PoC alapján, a sebezhető kódrészlet sem érhető el közvetlenül. AppWizard, az exploit kiagyalója viszont talált egy megfelelő kulcs-függvény párost, nevezetesen a

HKCU\EUDC\<aktuális kódlap>\SystemDefaultEUDCFont - EnableEUDC()

duettet, ami alkalmas a célra. A hiba emellett más kombinációkkal is kihasználható lehet. Ha megtalálom az eredeti leírást, frissítek, addig is szép álmokat!

Frissítés:

A hiba a win32k.sys NtGdiEnableEUDC() API-t érinti, az pedig kimaradt, hogy a probléma Windows Vistán, 7-en és 2008-on használható ki, mind 32, mind 64 bites platformokon.

Frissítés2:

Megvan a mirror! A fő bűnüs az RtlQueryRegistryValues függvény, ami egyszerre több registry érték kiolvasására alkalmas. A függvény kimenő paraméterben adja vissza ezeket az érékeket, az összeállított struktúrában szerepelhetnek unicode karakterláncok és ULONG adatok is. A baj az, hogy a fent említett registry kulcs olvasásakor a függvény feltételezi, hogy egy unicode stringet kap, aminek első néhány bájtja határozza meg a hosszát. ULONG érték esetén azonban ez a feltevés helytelennek bizonyul, és túl sok adat kerül a stackre.

Címkék: windows 0day

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

konnoriximus 2010.11.25. 14:00:10

Ahh óriási... Első postom, és bár először ezt a rém hosszú URL-t másoltam be, de aztán csináltam belőle egy href.hu-s címet, és azt raktam be. A kommentbe meg mégis a hosszú változat került...
Ez lenne a rövid: 74.6.238.254/search/srpcache?ei=UTF-8&p=codeproject.com+KB+vista-security+uac&fr=yfp-t-701&u=http://cc.bingj.com/cache.aspx?q=codeproject.com+KB+vista-security+uac&d=5059050712662707&mkt=en-US&setlang=en-US&w=ba67c808,2ff94797&icp=1&.intl=us&sig=ly7W_tHJ48l916pF.cL3LA--
Bocs :D

konnoriximus 2010.11.25. 14:00:48

wááá... oké, feladtam... a blog.hu visszaalakította :( vagy a chrome :(

RobbeR 2010.11.25. 14:02:46

Koszi a "rovid" hivatkozast :D

_2501 2010.11.25. 14:08:01

a href.hu-sat telleg atalkitja...

_2501 2010.11.25. 14:17:51

lol :D
http://tgpreactor.com"%20alert('blog.hu%20xss');

_2501 2010.11.25. 14:42:53

xy.combocsibocsi...kene_javitani_mielott_worm_lesz_belole....

buherator · http://buhera.blog.hu 2010.11.25. 18:08:41

@_2501: lol :D

Egyebkent köszi mindenkinek, közben én is találtam mirrort!