윈도우 쉘 바로가기 취약점 – rev2

현재 취약점이 나오고 PoC가 나왔습니다.

C&C 서버도 나왔네요.

  • mypremierfutbol.com
  • todaysfutbol.com
  • alert udp any any -> any 53 (content:”|03|www|0f|mypremierfutbol|03|com|00|”; nocase;)

    alert udp any any -> any 53 (content:”|03|www|0c|todaysfutbol|03|com|00|”; nocase;)

    metasploit에서 exploit도 나왔으나 현재 제대로 동작하지 않습니다.

    분석해본 결과 LNK파일을 파싱하는데 있어서 NIDS/NIPS단에서 탐지하는것은 힘들것으로 보입니다.

    좀더 지켜봅니다.

    참조사이트

    메타스플로잇 rb파일

    http://www.metasploit.com/redmine/projects/framework/repository/revisions/9869 

    메타스플로잇 사용법

    http://www.metasploit.com/modules/exploit/windows/browser/ms10_xxx_windows_shell_lnk_execute

    익스플로잇

    http://www.exploit-db.com/exploits/14403/

    SRP 미그레이션

    http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/

    .LNK (CVE-2010-2568) / Stuxnet Incident

    http://research.zscaler.com/2010/07/lnk-cve-2010-2568-stuxnet-incident.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+zscaler%2Fresearch+%28Zscaler+Research%29&utm_content=Twitter

    Advertisements

    About this entry