image
 
Участник проекта Zero Day Initiative Lucas Leong (Trend Micro) раскрыл подробности о наличии критической уязвимости в Windows, позволяющей удаленно выполнить произвольный код в контексте текущего процесса. Для успешной эксплуатации проблемы потребуется участие пользователя, который должен открыть вредоносный файл или перейти по ссылке.

Уязвимость обнаружена в СУБД Microsoft JET Database Engine и представляет собой возможность записи за пределами выделенного в памяти буфера (out-of-bounds OOB write) и проявляется при открытии источника данных JET (Joint Engine Technology) через интерфейс OLE DB.

image

OLE DB (Object Linking and Embedding, Database, OLEDB) — набор COM-интерфейсов, позволяющих приложениям унифицировано работать с данными разных источников и хранилищ информации.

Чтобы вызвать эту уязвимость, пользователю необходимо будет открыть специально сформированный файл, содержащий данные, хранящиеся в формате СУБД Microsoft JET Database Engine. Различные приложения используют этот формат базы данных. Эксплуатация этой уязвимости может позволить выполнять код на уровне текущего процесса.

На github опубликован PoC данной уязвимости, которой подвержена вся линейка современных ОС от Microsoft: Windows 7, Windows 8.1, Windows 10, и Windows Server Edition 2008 до 2016.

Любопытным фактом является то, что детали уязвимости были предоставлены компании Microsoft еще 8 мая, 14 мая Microsoft подтвердили наличие бага. Согласно политике ZDI после 120-дневного ожидания (4 месяца), они опубликовали уязвимость. В настоящее время компания Microsoft готовит исправление, которое, предположительно, будет включено в состав плановых октябрьских обновлений.

Злоумышленники могут крайне успешно использовать эту уязвимость при фишинговых атаках, реализации APT-векторов и атаках класса watering hole. Рекомендуется применять политики использования доверенных файлов, пока не будет выпущен патч.

Комментарии (7)


  1. selivanov_pavel
    22.09.2018 18:30

    > 14 мая Microsoft подтвердили наличие бага… В настоящее время компания Microsoft готовит исправление, которое, предположительно, будет включено в состав плановых октябрьских обновлений.

    Просто поражающая воображение оперативность при закрытии такой серьёзной дырки.


    1. dimonoid
      23.09.2018 02:25

      Так появляются наскоро сделанные заплатки с вытекающими из этого багами и глюками.


      1. selivanov_pavel
        23.09.2018 02:29

        Наскоро сделанная заплатка с багами и глюками — это «узнали в пятницу после обеда, срочно пофиксили и выкатили вечером». А 5 месяцев на исправление — это больше похоже на «Всё переписали заново. Два раза».


        1. dimonoid
          23.09.2018 03:40

          Это называется забили в дальний угол, а когда оказалось что уязвимость уже выложили в открытый доступ то нужно срочно латать абы как, лишь бы быстрее, а то пользователи съедят. Ну, пользователи при таком отношении к работе по любому съедят — и за отсутствие заплатки и за карявую заплатку, тк потом компьютер после обновления может сам начать перезагружаться скажем)


  1. Miron11
    23.09.2018 04:47

    «OLE DB (Object Linking and Embedding, Database, OLEDB) — набор COM-интерфейсов, позволяющих приложениям унифицировано работать с данными разных источников и хранилищ информации.»
    — Вообще — то по — русски набор интерфейсов, собранные воедино под крышей одного законченного блока ПО называется не «набор», а «пакет». При чем «пакет» в этом контексте является зарезервированным термином, идентичным по смыслу «пакет соглашений ратифицированный авторитетными структурами управления».

    В мире существует всего два таких пакета, один ODBC и он поддерживается консорциумом с паевым участием, практически всех серьёзных производителей ПО СУБД, второй это OLE DB. Учитывая тот факт, что «наборы» конструкторов продаются в магазинах игрушек, а Пакеты ODBC и OLE DB это уникальные изделия, которых во всем мире два (2), некоторая доля пиетета при выборе терминов была бы полезной.


    1. andreylartsev
      23.09.2018 10:08

      Эмм а как насчёт JDBC? Или говоря по русски это стандарт?)


  1. SergeyMax
    23.09.2018 08:05

    опубликован PoC данной уязвимости, которой подвержена вся линейка современных ОС от Microsoft: Windows 7, Windows 8.1, Windows 10
    запустил на десятке, скрипт сообщил, что указанный провайдер отсутствует

    Злоумышленники могут крайне успешно использовать эту уязвимость при фишинговых атаках
    чот у меня сомнение насчёт крайней успешности, ActiveX уже даже в Edge не поддерживается