Опубликован инструмент для написания бинарных эксплойтов

Опубликован инструмент для написания бинарных эксплойтов

Пользователь GitHub под именем t00sh опубликовал инструмент, призванный помочь в написании бинарных эксплойтов. На данный момент этот инструмент поддерживает следующие архитектуры: x86, x86_64, ARM и ARM64.

Утилита, получившая имя rop-tool v2.4.1, доступна для скачивании на GitHub. В список ее возможностей на данном этапе входят:

  • Поиск строк, поиск гаджетов, патчинг, визуализация кучи (heap visualization), дизассемблинг;
  • Раскрашенный результат на выходе;
  • Intel and AT&T flavor;
  • Поддержка двоичного формата ELF, PE и MACH-O;
  • Поддержка большого и маленького endian;
  • Поддержка архитектуры x86, x86_64, ARM и ARM64.

В качестве примеров t00sh приводит следующий список команд:

  • Простой поиск гаджетов — rop-tool gadget ./program
  • Отображение всех гаджетов с синтаксисом AT&T — rop-tool gadget ./program -f att –a
  • Поиск в файле RAW x86 — rop-tool gadget ./program -A x86
  • Поиск «разделенной» строки в бинарнике — rop-tool search ./program -s "/bin/sh"
  • Поиск всех строк в бинарнике — rop-tool search ./program –a
  • Патч бинарника со смещением 0x1000, добавляется «\xaa\xbb\xcc\xdd» и сохраняется как «patched» — rop-tool patch ./program -o 0x1000 -b "\xaa\xbb\xcc\xdd" -O patched
  • Визуализация распределения кучи команды /bin/ls — rop-tool heap /bin/ls
  • Дизассемблинг 0x100 байт по адресу 0x08048452 — rop-tool dis /bin/ls -l 0x100 -a 0x08048452

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

HP пропатчила червеобразную уязвимость, затрагивающую более 150 МФУ

Компания Hewlett Packard (HP) выпустила обновления, в которых разработчики устранили уязвимость, затрагивающую более 150 моделей многофункциональных устройств (МФУ). Брешь опасна тем, что позволяет создать червеобразный эксплойт и перемещаться по другим уязвимым принтерам внутри сети.

Проблему, получившую идентификатор CVE-2021-39238, обнаружили эксперты F-Secure Александр Большев и Тимо Хирвонен. В настоящее время соответствующий патч доступен на официальном сайте HP.

По словам специалистов, уязвимость представляет собой возможность переполнения буфера в парсере шрифтов. Потенциальный злоумышленник может использовать этот баг для получения контроля над прошивкой устройств, кражи данных или создания ботнета из уязвимых МФУ.

Эксперты F-Secure также подчеркнули, что эксплуатация CVE-2021-39238 практически не оставляет следов, что затруднит расследование подобного киберинцидента в организации. Использовать брешь можно как с помощью вредоносных сайтов, так и прямой атакой на устройства из Сети.

 

Кроме того, условный атакующий может загрузить вредоносный код с помощью USB-накопителя, который подключается к принтерам HP, или отправить фишинговую рассылку с вредоносным PDF-документом, который запустит эксплойт.

Большев и Хирвонен также указали и на другую уязвимость — CVE-2021-39237. К счастью, этот баг можно использовать только при наличии физического доступа к МФУ. На данный момент, как отметили специалисты F-Secure, реальной эксплуатации брешей в атаках зафиксировано не было.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru