Denne side bruger cookies
Dette forum bruger cookies. Hvis du er registreret, bruges de til at huske hvem du er logget ind som. Hvis ikke, gemmer vi dit sidste besøgstidspunkt. Besøgstidspunktet bruges bl.a. til at holde øje med, hvilke tråde du allerede har læst. Cookies er små tekstdokumenter, som bliver gemt i din browser og udgør ingen sikkerhedsrisiko. Tryk "Mere Information" nedenfor, for en liste over de cookies vi sætter. Du har mulighed for at fravælge cookies ved at klikke på knappen "Blokér Cookies" i bunden af denne boks.

En ikke-personhenførbar cookie vil blive gemt i din browser, uanset dit valg (Medmindre du ikke foretager et). Således undgår du at blive spurgt igen. Du kan til enhver tid ændre dit valg via linket i bunden af siden.

Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
CVE 2015-1635
16-04-2015, 10:57 (Denne besked var sidst ændret: 16-04-2015, 19:03 af MalcolmXI.)
#1
2015-1635
Synes denne har fortjent lidt opmærksomhed.
Det vil i teorien kunne opnå Remote Code Execution på kernel-niveau. - på den fede måde (en ondsindet pakke).

Citer:This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker sends a specially crafted HTTP request to an affected Windows system.

This security update is rated Critical for all supported editions of Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, and Windows Server 2012 R2. For more information, see the Affected Software section.
https://technet.microsoft.com/library/security/ms15-034

Citer:A remote code execution vulnerability exists in the HTTP protocol stack (HTTP.sys) that is caused when HTTP.sys improperly parses specially crafted HTTP requests. An attacker who successfully exploited this vulnerability could execute arbitrary code in the context of the System account.
To exploit this vulnerability, an attacker would have to send a specially crafted HTTP request to the affected system. The update addresses the vulnerability by modifying how the Windows HTTP stack handles requests.
https://ma.ttias.be/remote-code-executio...indows/?hn

Pt. er crashes og BSoD det eneste, som folk har opnået via det publicerede exploit, men hvis RCE rent faktisk er muligt, så er det altså med at få opdateret sine servere.
Andet end IIS er muligvis påvirket, så længe den sårbare driver er i brug.

Dette script skulle efter sigende kunne teste for fejlen:
https://lab.xpaw.me/MS15-034/?host=shellsec.pw
Find alle beskeder fra denne bruger
Citer denne besked i et svar
16-04-2015, 12:31
#2
RE: 2015-1635
Ja og Microsoft har ikke en patch ude endnu, så man kan enten slå kernel caching fra og lade sine server kører af lort, eller leve med det…
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
19-04-2015, 13:21
#3
RE: 2015-1635
Opdateringen skulle selv finde sted automatisk, men om der decideret er kommet et standalone fix skal jeg ikke kunne sige. Men ja, folk har heldigvis fundet et workaround.

Det ser ud til, at et RCE exploit er til salg på det nye marked TheRealDeal. Det er for tidligt at sige noget om dette, men eftersom de kører multisig, så skal admins være med på scammet, hvis det skal lykkedes. Det er vel bare et spørgsmål om tid, før det rammer offentligheden.

Citer:MS15-034 (http.sys) exploit is up for sale already. Current price: 517.06308170 BTC = 116.437$.
https://mobile.twitter.com/ydklijnsma/st...2365964288

[Billede: CC0UcNvWgAAXT7D.png]
Find alle beskeder fra denne bruger
Citer denne besked i et svar
20-04-2015, 13:30 (Denne besked var sidst ændret: 20-04-2015, 13:30 af Spagnum.)
#4
RE: 2015-1635
Giftigt nok afligevel, ville jeg da gerne havde fingerne i :)
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
20-04-2015, 13:56
#5
RE: 2015-1635
Ja sku.
Den er også kommet til salg på 1337day.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
13-05-2015, 23:16
#6
RE: 2015-1635
http://blog.trendmicro.com/trendlabs-sec...2015-1635/

Der er sandelig også kommet et Information Disclosure exploit nu.
Det giver output i stil med det vi så ved heartbleed.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-05-2015, 00:56 (Denne besked var sidst ændret: 14-05-2015, 00:56 af Doctor Blue.)
#7
RE: 2015-1635
(13-05-2015, 23:16)MalcolmXI Skrev: http://blog.trendmicro.com/trendlabs-sec...2015-1635/

Der er sandelig også kommet et Information Disclosure exploit nu.
Det giver output i stil med det vi så ved heartbleed.

Lækkert, godt man ikke bruger IIS :) Det er der nok heller ikke penge eller tid til.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-05-2015, 13:07 (Denne besked var sidst ændret: 14-05-2015, 13:13 af R3dpill.)
#8
RE: 2015-1635
(13-05-2015, 23:16)MalcolmXI Skrev: http://blog.trendmicro.com/trendlabs-sec...2015-1635/

Der er sandelig også kommet et Information Disclosure exploit nu.
Det giver output i stil med det vi så ved heartbleed.

nice one, tak for link :)

btw her er der link til nmap script til sårbarheden til dem, som ikke er stødt på det endnu http://pastebin.com/HeBDTenr
GOOD LUCK EBOLA-CHAN
I LOVE YOU EBOLA-CHAN
Find alle beskeder fra denne bruger
Citer denne besked i et svar
14-05-2015, 13:49 (Denne besked var sidst ændret: 14-05-2015, 16:50 af rained.)
#9
RE: 2015-1635
Det siges også at exploittet ville kunne virke over SSL. Så der er en god sandsynlighed for at slippe igennem Intrusion Detection Systems.
Shellshock i windows udgave :D.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
20-05-2015, 13:31
#10
RE: 2015-1635
(14-05-2015, 13:49)rained Skrev: Det siges også at exploittet ville kunne virke over SSL. Så der er en god sandsynlighed for at slippe igennem Intrusion Detection Systems.
Shellshock i windows udgave :D.

Speaking of IDS, er der nogle regler til at opfange dem med her, if anyone cares:
https://isc.sans.edu/forums/diary/MS1503...NOW/19583/
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)