微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 利用Windows最新漏洞传播的蠕虫Win32/MS08067.gen!A 已经出现  

作者:
标题: 利用Windows最新漏洞传播的蠕虫Win32/MS08067.gen!A 已经出现
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  利用Windows最新漏洞传播的蠕虫Win32/MS08067.gen!A 已经出现

微软在十月二十四日清晨 太平洋标准时间下午1点举行网络直播会议发布一个最高级别为严重的安全补丁ms08-067,用以修复已发现的Windows Server service 的漏洞并可能被利用于远程攻击或散播蠕虫. 攻击成功者可能获取系统的完全控制权限.
在每月补丁周期之外发布对于微软来说是很少见的。据微软的代表说,微软上一次在每月补丁周期之外发布安全补丁是在2007年4月。


已经看到了少量的攻击利用这个漏洞。 其危害程度可能不逊于当年波及80%以上Windows用户的“冲击波”病毒。


目前,攻击尝试下载木马命名n2.exe 受害者的电脑和现在有两个不同版本的二进制。微软的产品能够探测到这两个文件作为TrojanSpy : Win32/Gimmiv.A 。这个木马DLL的另一滴,我们发现作为TrojanSpy : Win32/Gimmiv.A.dll 。


关于目前微软掌握的攻击状况可参考以下链节:
http://blogs.technet.com/mmpc/ar ... -protected-now.aspx

微点交流论坛 漏洞快报 微软紧急发布补丁修复Windows严重漏洞   Microsoft 安全公告 MS08-067 - 严重 服务器服务中的漏洞可能允许远程执行代码:
http://bbs.micropoint.com.cn/showthread.asp?tid=43026&fpage=1



# milw0rm.com [2008-10-23]
http://www.milw0rm.com/exploits/6824

In vstudio command prompt:

  mk.bat

next:

  attach debugger to services.exe (2k) or the relevant svchost (xp/
2k3/...)

  net use \\IPADDRESS\IPC$ /user:user creds
  die \\IPADDRESS \pipe\srvsvc

  In some cases, /user:"" "", will suffice (i.e., anonymous
connection)


You should get EIP -> 00 78 00 78, a stack overflow (like a guard page
violation), access violation, etc.  However, in some cases, you will
get
nothing.


This is because it depends on the state of the stack prior to the
"overflow".
You need a slash on the stack prior to the input buffer.


So play around a bit, you'll get it working reliably...

poc:
hXXp://milw0rm.com/sploits/2008-ms08-067.zip

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-10-24 18:46
查看资料  发送邮件  访问主页  发短消息   编辑帖子
gudan
高级用户





积分 605
发帖 579
注册 2007-7-20
#2  

basesvc.dll找了好长时间了。。。。。。。。

※ ※ ※ 本文纯属【gudan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

相思无用 唯别而已
别期若有定
千般煎熬又何如
莫道黯然销魂
何处柳暗花明
2008-11-1 02:16
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号