Unpatched 0-day's, Stuxnet and M$

Не для какого уже давно не секрет,что как только появилась информация об использовании червем Stuxnet не закрытых уязвимостей, множество исследователей по разные стороны баррикад стали их искать. Кому-то удалось их найти, а кому-то нет, но не понятно, когда они будут закрыты. Обе уязвимости используются червем для повышения локальных привилегий в системе при своей инсталляции в систему.

Засветился на НТВ сегодня немножко :)

Не успел прийти сегодня на работу, как понабежали журналисты и начали допрашивать насчет червя Stuxnet. Говорят наш отчет даже читали :)

Stuxnet Under the Microscope

Вчера вечером мы закончили подготовку достаточно серьезного исследования по анализу червя Win32/Stuxnet. Самым сложным было подготовить сам отчет, т.к. он постоянно разрастался, потому как хотелось описать все, но описать все, таки не получилось. Некоторые подробности внедрения вредоносного функционала в SCADA остались за кадром (ну нету у нас реактора для тестов :)). Также мы не стали публиковать описание еще двух 0-day уязвимостей, которые пока до сих пор не закрыты и MS попросила этого не делать. Одна из них находится в win32k.sys и служит для повышения локальных привилегий в процессе инсталляции на операционные системы Win2000/WinXP. А вторая поинтереснее, т.к. позволяет повысить привилегии на Vista/Win7, через уязвимость в Task Scheduler. Пока про эти уязвимости больше ничего не скажу, всему свое время ;)

Искренне считаю, что мы провели полезное исследование и смогли правильно преподнести его результаты, поэтому крайне рекомендую вам с ним ознакомиться.

Twitpocalypsis NOW!

Много радости и веселья сегодня доставил Twitter пользователям веб-интерфейса. Дело в том, что свеженайденная XSS-уязвимость породила кучу различных веселых твитов содержащих JavaScript, который выполнялся при их просмотре :)
Например, вот такое вот безобидное на первый взгляд сообщение, может привести к интересным последствиям.

Опять Adobe накосячил (CVE-2010-2883)

На прошлой неделе был обнародован очередной 0-day для Adobe Reader (CVE-2010-2883). На этот раз повинна оказалась CoolType.dll, которая отвечает за парсинг True Type Font. Уязвимость проявляется при обработке шрифта с неправильной SING таблицей. В функции обработки есть вызов небезопасной синшной функции strcat(), которая при определенных условиях приводит к переполнению на стеке.

TDL поработил x64

Сегодня написал обзорную статью о новом витке развития нашумевшего руткита TDL3, который на долго поселился в головах исследователей из антивирусных компаний. TDL3 считается одним из самых передовых творений разработчиков руткитов на сегодняшний день. О нем писали очень много, одни из последних публикаций это отчет о нашем исследовании этого руткита и статья "TDSS: полное раскрытие" от eSage Lab.

Интересную статистику (по распространению всего семейства) по сабжу показала MS:

Как мы видим присутствует явное доминирование платформы WinXP и в новой версии авторы видимо решили исправить такое положение дел. Кол-во инсталляций Win7 x64 постоянно растет и теперь есть механизмы, позволяющие инсталлировать руткиты и на эту платформу.  

Концепт (Disable PatchGuard & Driver signature enforcement) механизма обхода проверки подписи в x64 появился еще в начале года в публичном доступе, но авторами помимо предложенного в нем механизма используется еще вызов недокументированной функции IoCreateDriver(), которая собственно и позволяет выполнить вредоносный драйвер (про это есть немного тут).