banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits MS08-067  XML
  [Announcement]   MS08-067 25/10/2008 01:31:46 (+0700) | #1 | 156450
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
Microsoft vừa phát hành một thông báo liên quan đến một lỗ hổng an ninh rất nguy hiểm vừa được phát hiện trong hệ điều hành Microsoft Windows. Hiện tại mã khai thác lỗ hổng này đã được phát tán rộng rãi trên Internet. Cũng đã xuất hiện worm khai thác lỗ hổng này (thực ra là con worm nó khai thác cái lỗ hổng zero day này từ trước rồi).

Xem thêm:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

http://blog.threatexpert.com/2008/10/gimmiva-exploits-zero-day-vulnerability.html

http://www.milw0rm.com/exploits/6824

patch ngay đi các bạn, kẻo chết không kịp ngáp :-p. nhớ kiểm tra luôn có bị nhiễm con worm kia chưa nhen.

--m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: MS08-067 25/10/2008 03:18:40 (+0700) | #2 | 156458
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Cho mình hỏi tí, đối với hệ thống mạng thì con worm này lây nhiễm như thế nào. Làm sao phát hiện mình bị nhiễm Và cách khắc phục nếu bị nhiễm .
[Up] [Print Copy]
  [Question]   Re: MS08-067 25/10/2008 04:13:42 (+0700) | #3 | 156465
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
Code:
http://blog.threatexpert.com/2008/10/gimmiva-exploits-zero-day-vulnerability.html

.....
The most interesting part of this worm is implemented in the DLL basesvc.dll. This DLL is responsible for the network propagation of the worm.

It starts from probing other IPs from the same network by sending them a sequence of bytes "abcde" or "12345". The worm then attempts to exploit other machines by sending them a malformed RPC request and relying on a vulnerable Server service. As known, Server service uses a named pipe SRVSVC as its RPC interface, which is registered with UUID equal to 4b324fc8-1670-01d3-1278-5a47bf6ee188. In order to attack it, the worm firstly attempts to bind SRVSVC by constructing the following RPC request:


Next, Gimmiv.A submits a maliciously crafted RPC request that instructs SRVSVC to canonicalize a path "\c\..\..\AAAAAAAAAAAAAAAAAAAAAAAAAAAAA" by calling the vulnerable RPC request NetPathCanonicalize, as shown in the traffic dump below (thanks to Don Jackson from SecureWorks for the provided dump):



smilie

Cách khắc phục theo em là diệt ngay nó, hiện tại đã có vài AV detect được nó, và nhanh chóng cập nhật bản vá.
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|