- PVSM.RU - https://www.pvsm.ru -
На этой неделе стало известно [1], что злоумышленники используют незакрытую на текущий момент уязвимость CVE-2013-5065 типа elevation of privilege (EoP) в Microsoft Windows XP и Server 2003 при организации направленных атак для поднятия своих полномочий в системе. Уязвимость не относится к типу RCE (Remote Code Execution), а используется только для обхода ограничений user-mode на исполнение кода в системном адресном пространстве. Используя баг [2] в драйвере NDProxy.sys, злоумышленники могут исполнить свой код в режиме ядра.
Сам шелл-код, который выполняет операцию эксплуатации уязвимой версии ndproxy, доставляется через вредоносный PDF-документ и используется совместно с применением уязвимости CVE-2013-3346 в Adobe Reader, Acrobat, которая позволяет обходить ограничения sandboxing в ридере и исполнить произвольный код (Adobe Reader sandbox bypass). CVE-2013-3346 была закрыта Adobe еще в августе этого года бюллетенем APSB13-15 [3] и не грозит пользователям с обновленными версиями этих программ.
Обновите свою ОС, если вы все еще используете крайне небезопасную Windows XP, а также регулярно устанавливайте обновления для программ чтения PDF — Adobe Reader, Acrobat. Антивирусные продукты ESET обнаруживают эксплойт как PDF/Exploit.CVE-2013-5065.A.
Автор: esetnod32
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/49709
Ссылки в тексте:
[1] известно: http://blogs.technet.com/b/msrc/archive/2013/11/27/microsoft-releases-security-advisory-2914486.aspx
[2] баг: http://www.secniu.com/blog/?p=47
[3] APSB13-15: http://www.adobe.com/support/security/bulletins/apsb13-15.html
[4] Источник: http://habrahabr.ru/post/204362/
Нажмите здесь для печати.