Реверсинг обновлений Windows

Discussion in 'Windows' started by UNIXTREID, 13 Nov 2015.

  1. UNIXTREID

    UNIXTREID Member

    Joined:
    2 Nov 2015
    Messages:
    140
    Likes Received:
    22
    Reputations:
    1
    Обновления безопасности, приходящие каждый месяц, являются файлами .msu и по сути легко распаковываются в виде набора побочных программ, скриптов и т.д.
    У меня такой вопрос: как реализовать разработку эксплоита исходя из файлов в составе обновления? Это, по сути, представляет собой реверсинг, написание от обратного.
    Допустим, заплатка патчит место в структуре сервиса (того же task manager для предотвращения исполнения программы с повышенными привилегиями). Мы, проанализировав структуру скрипта, вычисляем то место до и после обновления и реализуем отработку ошибки в коде в виде эксплоита. Вроде бы так и делается. Может быть, есть какие-нибудь техники такой реализации? Или какой-нибудь софт, автоматизирующий процесс?
     
  2. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,484
    Reputations:
    377
    Ваш подход к поиску уязвимостей весьма сомнителен, поскольку обновления под Win патчят уже известные уязвимости и сплойты под них в паблике есть.
     
    _________________________
  3. UNIXTREID

    UNIXTREID Member

    Joined:
    2 Nov 2015
    Messages:
    140
    Likes Received:
    22
    Reputations:
    1
    Конечно, способ достаточно странный, но, к сожалению, много эксплоитов и не находятся в паблике. Например, искал недавно ms12-020 RCE. Так его за 3 года так и не появилось (Хотя этот пример достаточно сложен для реализации). Больше хочется именно потренироваться в этом деле, начать с какого-нибудь нетрудного анализа, например, несложных багов task manager. Или исправлений font driver'ов, чтобы понимать саму суть эксплоитов к той или иной уязвимости.
     
  4. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,484
    Reputations:
    377
    Допустим вскрыли вы обновление ms. Там запатченная dll , отличающаяся от старой на пару байт. Как это вам поможет понять способ эксплуатации?
     
    _________________________
    Fanavana likes this.
  5. UNIXTREID

    UNIXTREID Member

    Joined:
    2 Nov 2015
    Messages:
    140
    Likes Received:
    22
    Reputations:
    1
    Ну делают же как-то спецы, обнаруживая в той же самой dll из примера это отличие, декомпилируя обе dll и находя пропатченную инструкцию. Потом, в публичных эксплоитах иногда прописывается, в каком компоненте buffer overflow или Null pointer (это можно часто увидеть, например, в эксплоитах к MSIE). На сайтах с подобной тематикой часто можно встретить описания, пестрящие картинками с ассемблерными кодами, в которых указаны уязвимые инструкции. Я думаю, от этого и нужно отталкиваться. Ведь общие подходы (программные конструкции) к эксплуатации того или иного типа уязвимости давно выработаны.
     
  6. UNIXTREID

    UNIXTREID Member

    Joined:
    2 Nov 2015
    Messages:
    140
    Likes Received:
    22
    Reputations:
    1
    На этой неделе вышел очередной Patch Tuesday. Появилось много интересного. Из публичного уже есть, к примеру, MS15-134 (Для Microsoft Windows Media Center). Но если честно, так хотелось бы увидеть и под MS15-126 (JScript and VBScript), MS15-128 (Microsoft Graphics Component), особенно для MS15-127 (Security Update for Microsoft Windows DNS to Address Remote Code Execution (3100465)). То есть не всё уже существует в паблике, как говорилось несколькими постами выше...

    Заметил, что почему-то практически не встречаются сплойты под шрифтовое исполнение кода (Microsoft Graphics Component). Почему так происходит ??? Вроде бы теоретически не сложно реализовать наборами уязвимых TrueType и OpenType.
     
Loading...
Similar Threads - Реверсинг обновлений Windows
  1. Crot83
    Replies:
    1
    Views:
    5,232