A. пишет: Дык это ж * октябрьский. Или я что-то путаю ?
Ну тогда Гордейчик писал теоретически. А в этот раз с эксплоитами. Хотя ссылки на предыдущее исследование небыло.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
SOLDIER пишет: Вообще-то буквально вчера их идею развил некто Ferruh Mavituna. Вот он-то и приаттачил эксплоиты на VBS - http://ferru h.mavituna.com/article/?769 Гордейчик фамилию после НГ изменил? [IMG]border=0 src=smileys/smiley2.gif>
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Разумеется. А теперь смотрим, что говорит сам автор: ---------------------- This is a similar threat with shattering attacks, but different method and impact. ------------------- Он как раз и пишет (как об шаттерринг атаке) об исследованиях ЗАРАЗы и Гордейчика. А его метод основан на использовании шоткатов: ---------------- Most of personal firewalls allow shortcuts or interface for controlling traffic. Its simple to bypass these firewalls by a multithreaded program and sending keys or by contolling mouse.
This flaw enables that any Trojan or similar programs can easily bypass firewall and act as a server or access to another computer. Also most of these firewalls have a "remember" option so if you bypass firewall and successfully exploit it, firewall will never ask again. ----------------------- Два этих метода он и назвал - "Sending Key Method" и "Mouse Control Method".
offtopic, а вот что думаешь ты, как один из авторов шаттер атаки - то, что сейчас выдал ентот турок (чи индус) про уязвимость через шоткаты - это другой тип атаки? Или то же самое, только вид сбоку?
Как ни жаль - эксплоит для Outpost работает (проверял на 2.5.375.4822 (374)). Каспер с самыми свежими базами и не пискнул (ну и правильно - с чего бы?). Защита настроек паролем не дает вообще ничего. Выяснил, как можно перекрыть этот эксплоит намертво. Способа нашел 2. 1. Добавить приложение "C:\WINNT\SYSTEM32\wscript.exe" в список запрещенных. Точно защищает именно от этого эксплоита, но никто не мешает использовать другой интерпретатор (например, его же, но из другой папки). Ну и тем, у кого для этого приложения уже прописаны правила, такой вариант однозначно не подходит. 2. Перевести стенку в "Режим блокировки". Естественно, теряем все прелести "Режима обучения". Ждем ответного хода разработчиков.