Synes denne har fortjent lidt opmærksomhed.
Det vil i teorien kunne opnå Remote Code Execution på kernel-niveau. - på den fede måde (en ondsindet pakke).

Citer:This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker sends a specially crafted HTTP request to an affected Windows system.

This security update is rated Critical for all supported editions of Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, and Windows Server 2012 R2. For more information, see the Affected Software section.

https://technet.microsoft.com/library/security/ms15-034

Citer:A remote code execution vulnerability exists in the HTTP protocol stack (HTTP.sys) that is caused when HTTP.sys improperly parses specially crafted HTTP requests. An attacker who successfully exploited this vulnerability could execute arbitrary code in the context of the System account.
To exploit this vulnerability, an attacker would have to send a specially crafted HTTP request to the affected system. The update addresses the vulnerability by modifying how the Windows HTTP stack handles requests.

https://ma.ttias.be/remote-code-executio...indows/?hn

Pt. er crashes og BSoD det eneste, som folk har opnået via det publicerede exploit, men hvis RCE rent faktisk er muligt, så er det altså med at få opdateret sine servere.
Andet end IIS er muligvis påvirket, så længe den sårbare driver er i brug.

Dette script skulle efter sigende kunne teste for fejlen:
https://lab.xpaw.me/MS15-034/?host=shellsec.pw

Ja og Microsoft har ikke en patch ude endnu, så man kan enten slå kernel caching fra og lade sine server kører af lort, eller leve med det…

Opdateringen skulle selv finde sted automatisk, men om der decideret er kommet et standalone fix skal jeg ikke kunne sige. Men ja, folk har heldigvis fundet et workaround.

Det ser ud til, at et RCE exploit er til salg på det nye marked TheRealDeal. Det er for tidligt at sige noget om dette, men eftersom de kører multisig, så skal admins være med på scammet, hvis det skal lykkedes. Det er vel bare et spørgsmål om tid, før det rammer offentligheden.

Citer:MS15-034 (http.sys) exploit is up for sale already. Current price: 517.06308170 BTC = 116.437$.

https://mobile.twitter.com/ydklijnsma/st...2365964288

Giftigt nok afligevel, ville jeg da gerne havde fingerne i :)

Ja sku.
Den er også kommet til salg på 1337day.

http://blog.trendmicro.com/trendlabs-sec...2015-1635/

Der er sandelig også kommet et Information Disclosure exploit nu.
Det giver output i stil med det vi så ved heartbleed.

(13-05-2015, 23:16)MalcolmXI Skrev: http://blog.trendmicro.com/trendlabs-sec...2015-1635/

Der er sandelig også kommet et Information Disclosure exploit nu.
Det giver output i stil med det vi så ved heartbleed.

Lækkert, godt man ikke bruger IIS :) Det er der nok heller ikke penge eller tid til.

(13-05-2015, 23:16)MalcolmXI Skrev: http://blog.trendmicro.com/trendlabs-sec...2015-1635/

Der er sandelig også kommet et Information Disclosure exploit nu.
Det giver output i stil med det vi så ved heartbleed.

nice one, tak for link :)

btw her er der link til nmap script til sårbarheden til dem, som ikke er stødt på det endnu http://pastebin.com/HeBDTenr

Det siges også at exploittet ville kunne virke over SSL. Så der er en god sandsynlighed for at slippe igennem Intrusion Detection Systems.
Shellshock i windows udgave :D.

(14-05-2015, 13:49)rained Skrev: Det siges også at exploittet ville kunne virke over SSL. Så der er en god sandsynlighed for at slippe igennem Intrusion Detection Systems.
Shellshock i windows udgave :D.

Speaking of IDS, er der nogle regler til at opfange dem med her, if anyone cares:
https://isc.sans.edu/forums/diary/MS1503...NOW/19583/