# Microsoft DirectShow (msvidctl.dll) MPEG-2 Memory Corruption

все, писец пришел китаю. http://www.avertlabs.com/research/blog/index.php/2009/07/06/new-attacks-against-internet-explorer/ а вместе с китаем и нам тоже.

это как было у Лукьяненко? сидеть при свете свечи и предвидеть грядущие катастрофы? вот так и мыщъх. сидит в Avert Labs в MFE и точит. в смысле пытается предсказать следующий шаг хакеров - куда переместиться вектор атаки, чтобы его упредить. а параллельно с этим смотрит, что делают конкуренты (благо с ними прочные связи

ага, вижу уже оперативно отработала одна компания, другая... что-то подозрительно быстро они работают пока мы только тестируем сигнатуру. смотрю - что же они детектят, благо формат баз известный.

иоп твою маму в задний проход. они палят червей по CLSID!! о том, что он подвержен обфускации они как-то не задумываются. ну обфускация - это ладно. это ж надо его разбить на несколько подстрок и как-то их перемешать в хаотичном порядке. хакеры ленивые. и им это делать влом. быстрее кликнуть мышей в блокноте в нужное меню кто в теме явно понял куда я клоню

про юникод знают лишь некоторые фирмы. про юникод big endian похоже знаем только мы в MFE другие его не палят. стестяются что ли? или оставляют червей на развод?

ага! вот наконец до конкурентных товарищей дошло, что HTML палить не есть хорошо, особенно на IPS, потому как на IPS это дело легко обойти. стали палить logo.gif, хотя он никакой не .gif и даже не .avi -- там просто сегмент от MPEG2 изувеченный лежит.

не, ну такой тупости я не ожидал!!! ребята просто рипнули содержимое logo.gif, которое носил с собой червь, без понимания того как оно устроено ;( о том, что этот сегмент может быть в и середине потока и выглядить совсем по другому никто видимо и не думал...

короче, сейчас в иннет с IE лучше не ходить :-( куча сайтов распростаняет заразу ;(

 

Эта http://www.securitylab.ru/poc/extra/382195.php сцыла полезнее

 

я остал от жизни, что, кто-то еще использует IE? Или в чем тут дело?

 

Wizard109
что-то в вашей ссылке самой значимой части не достает. держите. http://re-lab.org/MSDirectShow.rar - запускает калькулятор. пароль 1f3ct3d, палиться MFE и много еще кем, потому как это примитивный варинт без обфускации прочих трюков.

 

Emek
ну не знаю... судя по крикам и воплям живых метрецов (т.е. зомби) IE много кто использует. вот, проверьте свой браузер. http://re-lab.org/test_ule.html даже если вы сидите под линухом или макакой, все-таки лучше выключить жава-скрипт, иначе не говорите, что вы были не предупреждены. зы. на винде запустит калькулятор

 

Перешел по ссылке...ээээ... ну и что?что должно произойти-то?

 

Emek
Калькулятор запуститься должен, если у тебя ИЕ.

 

так я и гворю что 0.
ЗАпустил на опере и на эксплорере, из под винды. Естественно ничего не запустилось.
Джава скрипты включены естественно.

Это нынче сплоеты такие одноногие-хромые что ли....

 

Читал тут на днях Automated Real-time and Post Mortem Security Crash Analysis and Categorization от Микрософт, вобщем это дока к экстеншену к Windows Debugger, они типа драйвера тестируют теперь так - берут функцию, пишут для нее фуззер, т.е. прогоняют все возможные IN параметры и смотрят упадет или нет их драйвер, если падает - натравливают этот самый плагин и он делает анализ крешдампа и выдает диагностику - есть ли уязвимость (потенциальная) или нет. Таким образом исключается даже теоретическая возможность существования уязвимости(т.к. все возможные параметры проходящие в драйвер проверяются) исключается. Сам плагин с сорцами кстати, можно посмотреть как все происходит (там реализован конечный автомат по сути, есть правила для каждой ситуации, интересненько короче).

Так вот, к чему это я, мне не совсем понятно как обладая неплохим инструментарием, и вобщем-то уже большим опытом разработки безопастных приложения Микрософт пропускает такие ляпы как в этой уязвимости, переполнение буфера же уже чуть ли не компиляторами ловятся, непонятно...

 

У меня тож. не заработал
На инструкции 75 6b вылетает Гейтс знает куда, но принцип понятен

 

Emek
> так я и гворю что 0.
> ЗАпустил на опере и на эксплорере, из под винды.
> Естественно ничего не запустилось.
там вообще-то ms video юзается. если у тебя установлены кодеки стронних производитей, то и не запуститься. еще возможная причина - между re-lab.org и тобой кто-то режет logo.gif, скачай по ссылке выше архив и потести его локально.

> Это нынче сплоеты такие одноногие-хромые что ли....
это ж не мой сплоит. это то, что было выловлено в сети. у меня под XP SP3 запустилось. ну еще можешь потестить вот это: http://trac.metasploit.com/export/6750/framework3/trunk/modules/exploits/windows/browser/msvidctl_mpeg2.rb

TSS
> Так вот, к чему это я, мне не совсем понятно как обладая неплохим инструментарием,
> и вобщем-то уже большим опытом разработки безопастных приложения Микрософт
> пропускает такие ляпы как в этой уязвимости, переполнение буфера же уже чуть ли
> не компиляторами ловятся, непонятно...
посмотри под отладчком как ведет себя этот сплоит (logo.gif). _очень_ нетипичная уявзимось скажу я тебе. меня же больше удивляет то, что почти никто из аверов даже не пытается разобраться _что_ это и в каких пределах оно может видоизменяться.... блин, у нас троих человек ушли считанные часы на разбор ситуации...

 

Wizard109
> 75 6b
потому что меняется второй байт в дв. слове адреса возрата. и видимо он у тебя другой, чем ожидалось

 

kaspersky
ЛОкально тоже ничего не работает.

эээ...кодеки..ставил K -lite codek pack...

в общем, ну нафиг. фигня какая-то. Тему прочитал,думал реально конец. оказалось как обычно фуфло. тут не линукс и маки, тут под виндой не пашет..

 

Emek
Насчет фигни ты это напрасно.
Я уже полез антивирусные базы обновлять. Мало ли

 

Emek
под виндой не пашет, потому что это перекуроченный сплоит из сети, найденный мной самостоятельно в гуглу и потому у меня есть полное моральное и юридическое право его распростанять, ибо не найдет его щас только ленивый. нормальные боевые черви - которых мне предоставли для анализа - я, понятное дело, распростаняь не могу. я ж не враг себе

а вы пытали метасплоит? он довольно корректно написан. и уж во всяком случае с ним можно по ходу дела разобраться и подправить его под конкретную ситуацию.

хотя если стоят кодеки, то они перекрывают ms video. но не у всех они стоят. реально кол-во зараженных машин очень велико. мой домашний горшок с медом уже трещит по швам, потому что в него ломятся косяками

 

Wizard109
отключи MPEG2TuneRequest ActiveX Control Object. как отключать - ищи в гугле. мне лениво писать

 

нет, и не хочу мазаться в этом...ээ...в этом)

Мало ли что ломится) Пусть стучат в дверь, открывать не обязательно)

А что за горшок? НА винде стоит? Чисто интересно. Думаю тоже замутить себе,BackOfficer Friendly простенький для начало. На окно поставить.

 

Зочем нам Гугл. Рубанем CLSID в реестре и получим имунитет

 

ой е-моё....ну садитесь под оперу, уйдите из под админа, настройте хотя бы бегло ось, а если фаер поставите - будет вам счастье.
Какие нафиг эпидемии там?! Простейшие вышенапсанныне действия обламают любую бяку с паблика и н етолько...

Ну об думанье мозгами и элементарных правилах работы в инете я молчу.

 

Йопрст. У меня и так Опера. Exploit'a не очень то и испугался а оценил его пользу, заодно и посмотрел примерно как фунциклирует