Slo-Tech - V Windows 10 so odkrili novo ranljivost, ki ima po Microsoftovi lestvici najvišjo stopnjo resnosti ("kritično") in še ni zakrpana. Težava tiči v Adobe Type Manager Library (atmfd.dl) in jo lahko napadalec izkoristi, če uporabnik zlonamerno pripravljen dokument odpre ali si ga že predogleda v Windows Preview. Omenjena knjžnica se uporablja za izris pisav PostScript Type 1 v Windows.
Z zlorabo te ranljivost lahko napadalec na sistemu oddaljeno požene zlonamerno kodo. Gre za dve luknji, ki omogočata RCE (remote code execution). Omenjena ranljivost se v praksi že izrablja, dasiravno v omejenem obsegu, je dejal Microsoft. Podrobnosti o tem, kdo in kako jo izkorišča, niso razkrili. Ogrožen je tudi Windows 7, ki pa ni več podprt za domače uporabnike. Popravek, ki bo na voljo v naslednjem ciklu (drugi torek v mesecu), bodo tako dobili le naročniki razširjene podpore, za Windows 10 pa vsi.
Do tedaj lahko onesposobimo Preview Pane in Details Pane v Raziskovalcu, izključimo storitev WebCLient ali preimenujemo atmfd.dll. Prvi korak je najmanj škodljiv, saj zgolj onesposobimo del grafičnega vmesnika, ki uporablja pisave, povezane s to knjižnico. Drugi način je uporaben proti oddaljenim napadom, tretji pa je agresiven in lahko onesposobi programe, ki uporabljajo pisave OpenType.
Novice » Varnost » Izkorišča se nezakrpana ranljivost v Windows 10
WizzardOfOZ ::
Če nimaš adobe naložen, potem te datoteke ni v sistemu.
Raziskovalec? Total commander all the way, vključno z:
Raziskovalec? Total commander all the way, vključno z:
Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Drive\shell] @="open" [HKEY_CLASSES_ROOT\Drive\shell\open] [HKEY_CLASSES_ROOT\Drive\shell\open\command] @="c:\\tools\\wincmd\\TOTALCMD64.EXE /O \"%1\"" [HKEY_CLASSES_ROOT\Directory\shell] @="open" [HKEY_CLASSES_ROOT\Directory\shell\open] [HKEY_CLASSES_ROOT\Directory\shell\open\command] @="c:\\tools\\wincmd\\TOTALCMD64.EXE /O \"%1\""
cegu ::
A ima mogoce kdo kakšen dober step-by-step kako to sploh storijo?
1. Oseba odpre dokument ki.. kaj - pozene knjiznico?
2. Ta knjiznica je ranljiva ker... ima administratorski dostop in karkoli koda izrvsi ima lahko posledice?
3. Izvrsevanje kode na daljavo - kako? Jaz se SSH komaj da vzpostavim, kako lahko nekdo poganja kodo na daljavo.
je kaksen for-dummies tutorial?
1. Oseba odpre dokument ki.. kaj - pozene knjiznico?
2. Ta knjiznica je ranljiva ker... ima administratorski dostop in karkoli koda izrvsi ima lahko posledice?
3. Izvrsevanje kode na daljavo - kako? Jaz se SSH komaj da vzpostavim, kako lahko nekdo poganja kodo na daljavo.
je kaksen for-dummies tutorial?
WizzardOfOZ ::
https://www.exploit-db.com/exploits/379...
Proof of Concept:
https://github.com/offensive-security/e...
Proof of Concept:
https://github.com/offensive-security/e...
Zgodovina sprememb…
- spremenilo: WizzardOfOZ ()
proto ::
A ima mogoce kdo kakšen dober step-by-step kako to sploh storijo?
1. Oseba odpre dokument ki.. kaj - pozene knjiznico?
2. Ta knjiznica je ranljiva ker... ima administratorski dostop in karkoli koda izrvsi ima lahko posledice?
3. Izvrsevanje kode na daljavo - kako? Jaz se SSH komaj da vzpostavim, kako lahko nekdo poganja kodo na daljavo.
je kaksen for-dummies tutorial?
Ne ni "for dummies" tutoriala, ker "te zadeve" niso for dummies. Moras vedeti o izvajanju kode vec kot ve danasen milenijec, zavit v garbage collectorje, interface in na splosno tako oddaljen od dejanskega izvajanja kode, da se mu zdi browser operacijski sistem.
Zgodovina sprememb…
- predlagal izbris: MrStein ()
FireSnake ::
Ne ni "for dummies" tutoriala, ker "te zadeve" niso for dummies. Moras vedeti o izvajanju kode vec kot ve danasen milenijec, zavit v garbage collectorje, interface in na splosno tako oddaljen od dejanskega izvajanja kode, da se mu zdi browser operacijski sistem.
Kruta!
A realna
Poglej in se nasmej: vicmaher.si
brbr21 ::
Adobe spyware... verjetno kar feature, ki jo je ta pogoltni gigant prodajal posvečenim zainteresiranim. Skret firma zadnjih 10+ let.
He, he, he... najraje s klik GUI opcijo in YT tutorialom :))
Ne ni "for dummies" tutoriala, ker "te zadeve" niso for dummies. Moras vedeti o izvajanju kode vec kot ve danasen milenijec, zavit v garbage collectorje, interface in na splosno tako oddaljen od dejanskega izvajanja kode, da se mu zdi browser operacijski sistem.
He, he, he... najraje s klik GUI opcijo in YT tutorialom :))
mtosev ::
Nimam nic od adobeja. Pomeni, da nisem ogrozen ane?
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
pirlo ::
Izi ::
Kolikor je meni znano Windows 10 že precej časa nimajo več atmfd.dll datoteke, ki je bila kernel driver in kot taka res kritična.
Menda so že v verziji 1607 to datoteko zamenjali z atmlib.dll, ki deluje izven kernela.
atmlib.dll
File description: Windows NT Open Type/Type 1 API Library
Company: Adobe Systems
Sem preveril 3 različne Windows 10 PC-je in na nobenem ni atmfd.dll datoteke, je pa atmlib.dll, ki je menda varna.
Menda so že v verziji 1607 to datoteko zamenjali z atmlib.dll, ki deluje izven kernela.
atmlib.dll
File description: Windows NT Open Type/Type 1 API Library
Company: Adobe Systems
Sem preveril 3 različne Windows 10 PC-je in na nobenem ni atmfd.dll datoteke, je pa atmlib.dll, ki je menda varna.
jacal ::
Drži, na novem prenosniku s svežimi polkni in nameščenim Adobejevim bralnikom PDF-jev te datoteke ni, atmlib.dll pa je.
AapocalypseE ::
in jo lahko napadalec izkoristi, če uporabnik zlonamerno pripravljen dokument odpre ali si ga že predogleda v Windows Preview.
Torej si je folk tudi sam kriv, če odpira datoteke od neznane osebe.
Torej si je folk tudi sam kriv, če odpira datoteke od neznane osebe.
MrStein ::
Od Windows 10 1703 dalje se ta DLL baje ne uporablja.
Vir: https://portal.msrc.microsoft.com/en-us...
Je pa res, da v prvi tabeli na isti strani piše:
Windows 10 Version 1909 for x64-based Systems Remote Code Execution Critical
Vir: https://portal.msrc.microsoft.com/en-us...
Je pa res, da v prvi tabeli na isti strani piše:
Windows 10 Version 1909 for x64-based Systems Remote Code Execution Critical
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
MrStein ::
A ima mogoce kdo kakšen dober step-by-step kako to sploh storijo?
1. Oseba odpre dokument ki.. kaj - pozene knjiznico?
2. Ta knjiznica je ranljiva ker... ima administratorski dostop in karkoli koda izrvsi ima lahko posledice?
3. Izvrsevanje kode na daljavo - kako? Jaz se SSH komaj da vzpostavim, kako lahko nekdo poganja kodo na daljavo.
je kaksen for-dummies tutorial?
Primer:
- greš na firmin file server (shared folder)
- tam je v eno mapo nekdo (virus) dal okužen fajl
- BUM! je že mimo
Ko namreč odpreš to mapo, bo pokazalo fajle, med njimi okuženega, ki mu bo prikazalo preview (thumbnail slikico namesto generične ikone). Ta preview prikaže omenjena knjižnica. Ki ima luknjo. Ki jo izkoristi koda, ki je v tem fajlu. Kar pomeni, da koda iz fajla zdaj teče na tvojem PC. Po možnosti z najvišjimi prioritetami in dostopom.
https://twitter.com/axsdnied/status/124...
Tu lahko nekdo vpraša glede različic Win10.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
proto ::
Popravek, ne po moznosti. Ta dll je bil nalozen v csrss.exe, tako da bo koda kar fino tekla pod sistemskimi priviledgi. Nisem pa cisto preprican, ce se fonti rendrirajo na odpiranje shara, kolikor se spomnim se niso, je pa res, da spomin na windowse pocasi pesa.
sbawe64 ::
Kolikor je meni znano Windows 10 že precej časa nimajo več atmfd.dll datoteke, ki je bila kernel driver in kot taka res kritična.
Menda so že v verziji 1607 to datoteko zamenjali z atmlib.dll, ki deluje izven kernela.
atmlib.dll
File description: Windows NT Open Type/Type 1 API Library
Company: Adobe Systems
Sem preveril 3 različne Windows 10 PC-je in na nobenem ni atmfd.dll datoteke, je pa atmlib.dll, ki je menda varna.
Na w7 sta obe datoteki, brez nameščenega adobe spywarea.
sbawe64 ::
https://thehackernews.com/2020/03/windo...
No Patch Yet Available; Apply Workarounds
Napisane so tri "rešitve".
No Patch Yet Available; Apply Workarounds
Napisane so tri "rešitve".
Zgodovina sprememb…
- spremenilo: sbawe64 ()
MrStein ::
Na w7 sta obe datoteki, brez nameščenega adobe spywarea.
Ja, to je del Windows, nima veze s 3rd party programi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Izkorišča se nezakrpana ranljivost v Windows 10Oddelek: Novice / Varnost | 8670 (5183) | MrStein |
» | Samsungovi in Crucialovi SSD-ji ne znajo varno šifriratiOddelek: Novice / Varnost | 7870 (4626) | bbbbbb2015 |
» | Odkritih 13 kritičnih ranljivosti AMD Ryzen in EPYC procesorjev (strani: 1 2 3 )Oddelek: Novice / Procesorji | 35919 (29248) | rdecaluc |
» | Resna ranljivost v BluetoothuOddelek: Novice / Varnost | 10202 (7096) | GizmoX |
» | GHOST - resna ranljivost v glibcOddelek: Novice / Varnost | 7597 (4724) | jype |