{"id":7038,"date":"2013-06-04T14:29:39","date_gmt":"2013-06-04T14:29:39","guid":{"rendered":"http:\/\/www.bsk-consulting.de\/?p=688"},"modified":"2022-03-25T14:12:06","modified_gmt":"2022-03-25T13:12:06","slug":"signatur-fur-windows-0-day-epathobj-exploit","status":"publish","type":"post","link":"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/","title":{"rendered":"Signatur f\u00fcr Windows 0-day EPATHOBJ Exploit"},"content":{"rendered":"<p>[et_pb_section fb_built=&#8221;1&#8243; admin_label=&#8221;section&#8221; _builder_version=&#8221;3.22&#8243;][et_pb_row admin_label=&#8221;row&#8221; _builder_version=&#8221;3.25&#8243; background_size=&#8221;initial&#8221; background_position=&#8221;top_left&#8221; background_repeat=&#8221;repeat&#8221;][et_pb_column type=&#8221;4_4&#8243; _builder_version=&#8221;3.25&#8243; custom_padding=&#8221;|||&#8221; custom_padding__hover=&#8221;|||&#8221;][et_pb_text admin_label=&#8221;Text&#8221; _builder_version=&#8221;4.4.3&#8243; background_size=&#8221;initial&#8221; background_position=&#8221;top_left&#8221; background_repeat=&#8221;repeat&#8221;]Am gestrigen Tage wurde eine 0-day Schwachstelle am Microsoft Windows Betriebssystem bekannt, die f\u00fcr sich allein betrachtet bereits als schwerwiegend betrachtet wird, in Zusammenhang mit den uns bekannten Angreifer-Werkzeugen wie dem <a href=\"http:\/\/www.ampliasecurity.com\/research\/wcefaq.html\" target=\"_blank\" rel=\"noopener noreferrer\">Windows Credential Editor<\/a> allerdings als kritisch f\u00fcr jede gr\u00f6\u00dfere Microsoft Windows Dom\u00e4nen-Infrastruktur angesehen werden muss.<br \/>\nDie im heise Artikel &#8220;Google-Forscher ver\u00f6ffentlicht Zero-Day-Exploit f\u00fcr Windows&#8221; erw\u00e4hnte Schwachstelle erm\u00f6glicht es jedem Benutzer einer Windows Plattform, sich h\u00f6chste Rechte auf dem System zu beschaffen. Durch Einsatz des Exploits kann sich selbst ein Gast Benutzer zu dem Benutzer &#8220;LOCAL_SYSTEM&#8221; eskalieren. Die Anwendung es Exploit ist simple und kann von Personen ohne Fachwissen durchgef\u00fchrt werden.<br \/>\nAlle Windows Versionen und Architekturen sind betroffen.<br \/>\nDer Schadcode wird von <a href=\"https:\/\/www.virustotal.com\/en\/file\/9fbe99d926388759cc6d72669cc6b97504287a32528998ceb86ff9f494fa382c\/analysis\/1370471316\/\" target=\"_blank\" rel=\"noopener noreferrer\">kaum einem Virenscanner<\/a> erkannt.<br \/>\n<div id=\"attachment_694\" style=\"width: 630px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-694\" class=\"size-large wp-image-694\" alt=\"0day exploit EPATHOBJ\" src=\"\/wp-content\/uploads\/2013\/06\/screenshot.04-06-2013-18.01.24.jpg\" width=\"620\" height=\"346\" \/><p id=\"caption-attachment-694\" class=\"wp-caption-text\">Ein einfacher Kommandozeilenaufruf erlaubt es, ein Program als LOCAL_SYSTEM zu starten<\/p><\/div><br \/>\nFolgende Szenarien sind durch das Exploit m\u00f6glich:<\/p>\n<ul>\n<li>Benutzer von Windows Client k\u00f6nnen sich lokale, administrative Rechte verschaffen<\/li>\n<li>Benutzer auf Servern k\u00f6nnen sich dort administrative Rechte verschaffen<\/li>\n<li>Benutzer auf Citrix Farmen\u00a0k\u00f6nnen sich dort administrative Rechte verschaffen<\/li>\n<li>Malware verwendet das Verfahren, um sich bei Ausf\u00fchrung im eingeschr\u00e4nkten Benutzerkontext lokale Systemrechte zu verschaffen und das System tiefgreifend zu ver\u00e4ndern<\/li>\n<li>Hacker (z.B. in APT Umfeldern) erhalten so auf Systemen das Recht, auf die gespeicherten LSA Sitzungen von Administratoren zuzugreifen (s.h. <a title=\"WCE Post Exploitation\" href=\"http:\/\/www.ampliasecurity.com\/research\/wce12_uba_ampliasecurity_eng.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">Windows Credential Editor Pr\u00e4sentation &#8211; Post-Exploitation<\/a>)<\/li>\n<\/ul>\n<h2>Zusammenspiel mit Windows Credential Editor<\/h2>\n<p>Im Zusammenspiel mit dem &#8220;<strong>Windows Credential Editor<\/strong>&#8221; (WCE) wirkt diese Schwachstelle besonders verheerend. Mit dem Windows Credential Editor ist es m\u00f6glich, LSA Sitzungstokens (NTML Hashes) und Klartextpassworte aus dem Speicher eines Systems zu dumpen. Diese Sitzungsinformationen bleiben teilweise Tage und Wochen im Speicher eines Systems zur\u00fcck. Es reicht, dass der Angreifer Zugriff auf einen Mitgliedsserver erh\u00e4lt, um NTLM Hashes von Dom\u00e4nenadministratoren aus dem Speicher zu extrahieren.<br \/>\n\u00dcbliche Methoden zum Schutz vor diesen Attacken, wie die Wahl eines komplexen Passwortes, welches aus dem Hash nicht zur\u00fcck berechnet werden kann, greifen nicht. Der WCE stellt Funktionen bereit, die einen einfachen Pass-the-Hash Angriff umsetzen. Dazu muss das Passwort nicht geknackt, sondern nur der Hash weitergereicht werden. In unserem Kundenumfeld setzen Angreifer diese Methode ein, um von Serversystemen in unbedeutenden Au\u00dfenstandorten, Kommandozeilen mit Rechten eines Dom\u00e4nen-Administrators auf den Dom\u00e4nen-Controllern zu \u00f6ffnen.<br \/>\nDiese <a href=\"http:\/\/www.ampliasecurity.com\/research\/wce12_uba_ampliasecurity_eng.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">Pr\u00e4sentation<\/a> beschreibt die Funktionsweise des WCE im Detail.<br \/>\nZur Ausf\u00fchrung des WCE sind allerdings administrative Rechte erforderlich, \u00fcber die die Angreifer nicht immer verf\u00fcgen. Mit dem neuen Windows Exploit erhalten sie diese aber einfach und schnell. Eine gesamte Windows Dom\u00e4ne f\u00e4llt so in k\u00fcrzester Zeit.<\/p>\n<h2>Gegenma\u00dfnahmen<\/h2>\n<p>Wir haben auf Grund der Dinglichkeit eine Signatur f\u00fcr das von Tavis Ormandy ver\u00f6ffentlichte Windows Zero-Day-Exploit erzeugt. Andere Methoden zur Erkennung werden derzeit evaluiert. Wir werden Sie hier im Blog informieren, wenn wir andere Wege zur Erkennung (z.B. Windows Eventlogging) finden konnten.<br \/>\nSie k\u00f6nnen ihre Systeme mit Hilfe von\u00a0<a title=\"Yara Project\" href=\"https:\/\/code.google.com\/p\/yara-project\/\" target=\"_blank\" rel=\"noopener noreferrer\">YARA<\/a>\u00a0manuell scannen.<br \/>\n<code>rule Windows_0day_Exploit_1 {<br \/>\nmeta: description = \"Windows 0day EPATHOBJ local ring0 Exploit\"<br \/>\nstrings:<br \/>\n$a = \"PATHRECORD\" fullword<br \/>\n$b = \"HRGN\" fullword<br \/>\n$c = \"FlattenPath\" fullword<br \/>\n$d = \"EndPath\" fullword<br \/>\n$e = \"PolyDraw\" fullword<br \/>\ncondition:<br \/>\nall of them<br \/>\n}<br \/>\n<\/code><br \/>\nNachdem Sie &#8220;yara-1.7-winXX.zip&#8221; heruntergeladen und entpackt haben, k\u00f6nnen sie \u00fcber die Kommandozeile den Scan mit der oben angegeben Signatur starten.<br \/>\nDiese Signatur ist auch Teil unseres <a title=\"Incident Response Tool \u2013 TH0R\" href=\"\/incident-response-tool-thor\/\" target=\"_blank\" rel=\"noopener noreferrer\">Incident Response Scanners THOR<\/a>, zu dem Sie <a title=\"Incident Response Tool \u2013 TH0R\" href=\"\/incident-response-tool-thor\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> mehr Informationen finden k\u00f6nnen.<br \/>\nEinen Schutz auf kritischen Systemen bietet eine L\u00f6sung wie &#8220;<a title=\"AppSense\" href=\"http:\/\/www.appsense.com\/products\/desktop\/desktopnow\/application-manager\/\" target=\"_blank\" rel=\"noopener noreferrer\">AppSense Application Manager<\/a>&#8220;, zu dem wir auch Support anbieten. Er setzt das &#8220;Trusted Ownership&#8221; Modell um, welches auf Windows Systemen sicherstellt, dass nur diejenigen Executables ausgef\u00fchrt werden d\u00fcrfen, die von einer vertrauensw\u00fcrdigen Gruppe auf das System gebracht wurden (z.B. Administratoren). So k\u00f6nnen z.B. die Benutzer von Citrix Systemen weiterhin ihre dort abgelegten Anwendungen verwenden, aber keine eigenen, eingebrachten Executables zur Ausf\u00fchrung bringen.<\/p>\n<h2>Exploitcode<\/h2>\n<p>Der Exploitcode wurde von uns kompiliert und untersucht.<br \/>\nEine von uns veranlasste Analyse des Exploitcodes durch Malwr.com finden Sie <a title=\"Malwr 0-day Exploitcode compiled\" href=\"https:\/\/malwr.com\/analysis\/Mjc3ZGNhYTRiZDUyNGRiZDg5NTlhNGI4YmRjNjRhODE\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>.<br \/>\n(die kompilierte Executable kann von dieser Seite heruntergeladen werden &#8211; wir \u00fcbernehmen keine Haftung f\u00fcr Sch\u00e4den, die durch die Ausf\u00fchrung entstehen)<\/p>\n<h2>Update<\/h2>\n<p>Wir konnten den bereitgestellten Code nur auf 32bit Betriebssystem Versionen zum Laufen bringen. Es steht jedoch au\u00dfer Frage, dass die Schwachstelle nach Anpassungen auch auf 64bit Systemen ausnutzbar sein muss.<br \/>\nInteressant ist auch, das Tavis Ormandy den lauff\u00e4higen <a href=\"https:\/\/twitter.com\/taviso\/status\/340509784782540800\/photo\/1\" target=\"_blank\" rel=\"noopener noreferrer\">Exploitcode von einem chinesischen Studenten<\/a> bereitgestellt bekommen hat. [\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am gestrigen Tage wurde eine 0-day Schwachstelle am Microsoft Windows Betriebssystem bekannt, die f\u00fcr sich allein betrachtet bereits als schwerwiegend betrachtet wird, in Zusammenhang mit den uns bekannten Angreifer-Werkzeugen wie dem Windows Credential Editor allerdings als kritisch f\u00fcr jede gr\u00f6\u00dfere Microsoft Windows Dom\u00e4nen-Infrastruktur angesehen werden muss. Die im heise Artikel &#8220;Google-Forscher ver\u00f6ffentlicht Zero-Day-Exploit f\u00fcr Windows&#8221; erw\u00e4hnte Schwachstelle erm\u00f6glicht es jedem Benutzer einer Windows Plattform, sich h\u00f6chste Rechte auf dem System zu beschaffen. Durch Einsatz des Exploits kann sich selbst ein Gast Benutzer zu dem Benutzer &#8220;LOCAL_SYSTEM&#8221; eskalieren. Die Anwendung es Exploit ist simple und kann von Personen ohne Fachwissen durchgef\u00fchrt werden. Alle Windows Versionen und Architekturen sind betroffen. Der Schadcode wird von kaum einem Virenscanner erkannt. Folgende Szenarien sind durch das Exploit m\u00f6glich: Benutzer von Windows Client k\u00f6nnen sich lokale, administrative Rechte verschaffen Benutzer auf Servern k\u00f6nnen sich dort administrative Rechte verschaffen Benutzer auf Citrix Farmen\u00a0k\u00f6nnen sich dort administrative Rechte verschaffen Malware verwendet das Verfahren, um sich bei Ausf\u00fchrung im eingeschr\u00e4nkten Benutzerkontext lokale Systemrechte zu verschaffen und das System tiefgreifend zu ver\u00e4ndern Hacker (z.B. in APT Umfeldern) erhalten so auf Systemen das Recht, auf die gespeicherten LSA Sitzungen von Administratoren zuzugreifen (s.h. Windows Credential Editor Pr\u00e4sentation &#8211; Post-Exploitation) Zusammenspiel mit [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"Am gestrigen Tage wurde eine 0-day Schwachstelle am Microsoft Windows Betriebssystem bekannt, die f\u00fcr sich allein betrachtet bereits als schwerwiegend betrachtet wird, in Zusammenhang mit den uns bekannten Angreifer-Werkzeugen wie dem <a href=\"http:\/\/www.ampliasecurity.com\/research\/wcefaq.html\" target=\"_blank\" rel=\"noopener noreferrer\">Windows Credential Editor<\/a> allerdings als kritisch f\u00fcr jede gr\u00f6\u00dfere Microsoft Windows Dom\u00e4nen-Infrastruktur angesehen werden muss.\r\nDie im heise Artikel \"Google-Forscher ver\u00f6ffentlicht Zero-Day-Exploit f\u00fcr Windows\" erw\u00e4hnte Schwachstelle erm\u00f6glicht es jedem Benutzer einer Windows Plattform, sich h\u00f6chste Rechte auf dem System zu beschaffen. Durch Einsatz des Exploits kann sich selbst ein Gast Benutzer zu dem Benutzer \"LOCAL_SYSTEM\" eskalieren. Die Anwendung es Exploit ist simple und kann von Personen ohne Fachwissen durchgef\u00fchrt werden.\r\nAlle Windows Versionen und Architekturen sind betroffen.\r\nDer Schadcode wird von <a href=\"https:\/\/www.virustotal.com\/en\/file\/9fbe99d926388759cc6d72669cc6b97504287a32528998ceb86ff9f494fa382c\/analysis\/1370471316\/\" target=\"_blank\" rel=\"noopener noreferrer\">kaum einem Virenscanner<\/a> erkannt.\r\n[caption id=\"attachment_694\" align=\"alignnone\" width=\"620\"]<a href=\"https:\/\/www.nextron-systems.com\/wp-content\/uploads\/2013\/06\/screenshot.04-06-2013-18.01.24.jpg\"><img class=\"size-large wp-image-694\" alt=\"0day exploit EPATHOBJ\" src=\"http:\/\/www.bsk-consulting.de\/wp-content\/uploads\/2013\/06\/screenshot.04-06-2013-18.01.24-620x346.jpg\" width=\"620\" height=\"346\" \/><\/a> Ein einfacher Kommandozeilenaufruf erlaubt es, ein Program als LOCAL_SYSTEM zu starten[\/caption]\r\nFolgende Szenarien sind durch das Exploit m\u00f6glich:\r\n<ul>\r\n\t<li>Benutzer von Windows Client k\u00f6nnen sich lokale, administrative Rechte verschaffen<\/li>\r\n\t<li>Benutzer auf Servern k\u00f6nnen sich dort administrative Rechte verschaffen<\/li>\r\n\t<li>Benutzer auf Citrix Farmen\u00a0k\u00f6nnen sich dort administrative Rechte verschaffen<\/li>\r\n\t<li>Malware verwendet das Verfahren, um sich bei Ausf\u00fchrung im eingeschr\u00e4nkten Benutzerkontext lokale Systemrechte zu verschaffen und das System tiefgreifend zu ver\u00e4ndern<\/li>\r\n\t<li>Hacker (z.B. in APT Umfeldern) erhalten so auf Systemen das Recht, auf die gespeicherten LSA Sitzungen von Administratoren zuzugreifen (s.h. <a title=\"WCE Post Exploitation\" href=\"http:\/\/www.ampliasecurity.com\/research\/wce12_uba_ampliasecurity_eng.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">Windows Credential Editor Pr\u00e4sentation - Post-Exploitation<\/a>)<\/li>\r\n<\/ul>\r\n<h2>Zusammenspiel mit Windows Credential Editor<\/h2>\r\nIm Zusammenspiel mit dem \"<strong>Windows Credential Editor<\/strong>\" (WCE) wirkt diese Schwachstelle besonders verheerend. Mit dem Windows Credential Editor ist es m\u00f6glich, LSA Sitzungstokens (NTML Hashes) und Klartextpassworte aus dem Speicher eines Systems zu dumpen. Diese Sitzungsinformationen bleiben teilweise Tage und Wochen im Speicher eines Systems zur\u00fcck. Es reicht, dass der Angreifer Zugriff auf einen Mitgliedsserver erh\u00e4lt, um NTLM Hashes von Dom\u00e4nenadministratoren aus dem Speicher zu extrahieren.\r\n\u00dcbliche Methoden zum Schutz vor diesen Attacken, wie die Wahl eines komplexen Passwortes, welches aus dem Hash nicht zur\u00fcck berechnet werden kann, greifen nicht. Der WCE stellt Funktionen bereit, die einen einfachen Pass-the-Hash Angriff umsetzen. Dazu muss das Passwort nicht geknackt, sondern nur der Hash weitergereicht werden. In unserem Kundenumfeld setzen Angreifer diese Methode ein, um von Serversystemen in unbedeutenden Au\u00dfenstandorten, Kommandozeilen mit Rechten eines Dom\u00e4nen-Administrators auf den Dom\u00e4nen-Controllern zu \u00f6ffnen.\r\nDiese <a href=\"http:\/\/www.ampliasecurity.com\/research\/wce12_uba_ampliasecurity_eng.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">Pr\u00e4sentation<\/a> beschreibt die Funktionsweise des WCE im Detail.\r\nZur Ausf\u00fchrung des WCE sind allerdings administrative Rechte erforderlich, \u00fcber die die Angreifer nicht immer verf\u00fcgen. Mit dem neuen Windows Exploit erhalten sie diese aber einfach und schnell. Eine gesamte Windows Dom\u00e4ne f\u00e4llt so in k\u00fcrzester Zeit.\r\n<h2>Gegenma\u00dfnahmen<\/h2>\r\nWir haben auf Grund der Dinglichkeit eine Signatur f\u00fcr das von Tavis Ormandy ver\u00f6ffentlichte Windows Zero-Day-Exploit erzeugt. Andere Methoden zur Erkennung werden derzeit evaluiert. Wir werden Sie hier im Blog informieren, wenn wir andere Wege zur Erkennung (z.B. Windows Eventlogging) finden konnten.\r\nSie k\u00f6nnen ihre Systeme mit Hilfe von\u00a0<a title=\"Yara Project\" href=\"https:\/\/code.google.com\/p\/yara-project\/\" target=\"_blank\" rel=\"noopener noreferrer\">YARA<\/a>\u00a0manuell scannen.\r\n<code>rule Windows_0day_Exploit_1 {\r\nmeta: description = \"Windows 0day EPATHOBJ local ring0 Exploit\"\r\nstrings:\r\n$a = \"PATHRECORD\" fullword\r\n$b = \"HRGN\" fullword\r\n$c = \"FlattenPath\" fullword\r\n$d = \"EndPath\" fullword\r\n$e = \"PolyDraw\" fullword\r\ncondition:\r\nall of them\r\n}\r\n<\/code>\r\nNachdem Sie \"yara-1.7-winXX.zip\" heruntergeladen und entpackt haben, k\u00f6nnen sie \u00fcber die Kommandozeile den Scan mit der oben angegeben Signatur starten.\r\nDiese Signatur ist auch Teil unseres <a title=\"Incident Response Tool \u2013 TH0R\" href=\"http:\/\/www.bsk-consulting.de\/incident-response-tool-thor\/\" target=\"_blank\" rel=\"noopener noreferrer\">Incident Response Scanners THOR<\/a>, zu dem Sie <a title=\"Incident Response Tool \u2013 TH0R\" href=\"http:\/\/www.bsk-consulting.de\/incident-response-tool-thor\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> mehr Informationen finden k\u00f6nnen.\r\nEinen Schutz auf kritischen Systemen bietet eine L\u00f6sung wie \"<a title=\"AppSense\" href=\"http:\/\/www.appsense.com\/products\/desktop\/desktopnow\/application-manager\/\" target=\"_blank\" rel=\"noopener noreferrer\">AppSense Application Manager<\/a>\", zu dem wir auch Support anbieten. Er setzt das \"Trusted Ownership\" Modell um, welches auf Windows Systemen sicherstellt, dass nur diejenigen Executables ausgef\u00fchrt werden d\u00fcrfen, die von einer vertrauensw\u00fcrdigen Gruppe auf das System gebracht wurden (z.B. Administratoren). So k\u00f6nnen z.B. die Benutzer von Citrix Systemen weiterhin ihre dort abgelegten Anwendungen verwenden, aber keine eigenen, eingebrachten Executables zur Ausf\u00fchrung bringen.\r\n<h2>Exploitcode<\/h2>\r\nDer Exploitcode wurde von uns kompiliert und untersucht.\r\nEine von uns veranlasste Analyse des Exploitcodes durch Malwr.com finden Sie <a title=\"Malwr 0-day Exploitcode compiled\" href=\"https:\/\/malwr.com\/analysis\/Mjc3ZGNhYTRiZDUyNGRiZDg5NTlhNGI4YmRjNjRhODE\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>.\r\n(die kompilierte Executable kann von dieser Seite heruntergeladen werden - wir \u00fcbernehmen keine Haftung f\u00fcr Sch\u00e4den, die durch die Ausf\u00fchrung entstehen)\r\n<h2>Update<\/h2>\r\nWir konnten den bereitgestellten Code nur auf 32bit Betriebssystem Versionen zum Laufen bringen. Es steht jedoch au\u00dfer Frage, dass die Schwachstelle nach Anpassungen auch auf 64bit Systemen ausnutzbar sein muss.\r\nInteressant ist auch, das Tavis Ormandy den lauff\u00e4higen <a href=\"https:\/\/twitter.com\/taviso\/status\/340509784782540800\/photo\/1\" target=\"_blank\" rel=\"noopener noreferrer\">Exploitcode von einem chinesischen Studenten<\/a> bereitgestellt bekommen hat. ","_et_gb_content_width":"","footnotes":""},"categories":[327,335,264,269],"tags":[362,363,415,416,417,284,330,418,419,7,420,100,360,48,421],"class_list":["post-7038","post","type-post","status-publish","format-standard","hentry","category-alert","category-security-fix","category-tool","category-tutorial","tag-0-day","tag-0day","tag-c","tag-compiled","tag-epathobj","tag-exe","tag-fix","tag-kompiliert","tag-remedy","tag-scanner","tag-signatur","tag-windows","tag-workaround","tag-yara","tag-zero-day-exploit"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v24.9 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Signatur f\u00fcr Windows 0-day EPATHOBJ Exploit - Nextron Systems<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/\"},\"author\":{\"name\":\"Florian Roth\",\"@id\":\"https:\/\/www.nextron-systems.com\/#\/schema\/person\/4fd503007d60aabaf1ae747502f36919\"},\"headline\":\"Signatur f\u00fcr Windows 0-day EPATHOBJ Exploit\",\"datePublished\":\"2013-06-04T14:29:39+00:00\",\"dateModified\":\"2022-03-25T13:12:06+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/\"},\"wordCount\":791,\"publisher\":{\"@id\":\"https:\/\/www.nextron-systems.com\/#organization\"},\"keywords\":[\"0-day\",\"0day\",\"c\",\"compiled\",\"EPATHOBJ\",\"exe\",\"fix\",\"kompiliert\",\"remedy\",\"scanner\",\"Signatur\",\"windows\",\"workaround\",\"YARA\",\"Zero-Day-Exploit\"],\"articleSection\":[\"Alert\",\"Security Fix\",\"Tool\",\"Tutorial\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/\",\"url\":\"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/\",\"name\":\"Signatur f\u00fcr Windows 0-day EPATHOBJ Exploit - Nextron Systems\",\"isPartOf\":{\"@id\":\"https:\/\/www.nextron-systems.com\/#website\"},\"datePublished\":\"2013-06-04T14:29:39+00:00\",\"dateModified\":\"2022-03-25T13:12:06+00:00\",\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/\"]}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.nextron-systems.com\/#website\",\"url\":\"https:\/\/www.nextron-systems.com\/\",\"name\":\"Nextron Systems\",\"description\":\"We Detect Hackers\",\"publisher\":{\"@id\":\"https:\/\/www.nextron-systems.com\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.nextron-systems.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.nextron-systems.com\/#organization\",\"name\":\"Nextron Systems GmbH\",\"url\":\"https:\/\/www.nextron-systems.com\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.nextron-systems.com\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.nextron-systems.com\/wp-content\/uploads\/2017\/11\/Nextron_0.2s_inv_symbol_only.png\",\"contentUrl\":\"https:\/\/www.nextron-systems.com\/wp-content\/uploads\/2017\/11\/Nextron_0.2s_inv_symbol_only.png\",\"width\":260,\"height\":260,\"caption\":\"Nextron Systems GmbH\"},\"image\":{\"@id\":\"https:\/\/www.nextron-systems.com\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.nextron-systems.com\/#\/schema\/person\/4fd503007d60aabaf1ae747502f36919\",\"name\":\"Florian Roth\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.nextron-systems.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/0dfaa838ce5d82e2e7bfa75ed3f43ae5?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/0dfaa838ce5d82e2e7bfa75ed3f43ae5?s=96&d=mm&r=g\",\"caption\":\"Florian Roth\"},\"description\":\"Florian Roth serves as the Head of Research and Development at Nextron Systems. With a background in IT security since 2000, he has delved deep into nation-state cyber attacks since 2012. Florian has developed the THOR Scanner and actively engages with the community via his Twitter handle @cyb3rops. He has contributed to open-source projects, including 'Sigma', a generic SIEM rule format, and 'LOKI', an open-source scanner. Additionally, he has shared valuable resources like a mapping of APT groups and operations and an Antivirus Event Analysis Cheat Sheet.\",\"url\":\"https:\/\/www.nextron-systems.com\/author\/florian\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Signatur f\u00fcr Windows 0-day EPATHOBJ Exploit - Nextron Systems","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/#article","isPartOf":{"@id":"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/"},"author":{"name":"Florian Roth","@id":"https:\/\/www.nextron-systems.com\/#\/schema\/person\/4fd503007d60aabaf1ae747502f36919"},"headline":"Signatur f\u00fcr Windows 0-day EPATHOBJ Exploit","datePublished":"2013-06-04T14:29:39+00:00","dateModified":"2022-03-25T13:12:06+00:00","mainEntityOfPage":{"@id":"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/"},"wordCount":791,"publisher":{"@id":"https:\/\/www.nextron-systems.com\/#organization"},"keywords":["0-day","0day","c","compiled","EPATHOBJ","exe","fix","kompiliert","remedy","scanner","Signatur","windows","workaround","YARA","Zero-Day-Exploit"],"articleSection":["Alert","Security Fix","Tool","Tutorial"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/","url":"https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/","name":"Signatur f\u00fcr Windows 0-day EPATHOBJ Exploit - Nextron Systems","isPartOf":{"@id":"https:\/\/www.nextron-systems.com\/#website"},"datePublished":"2013-06-04T14:29:39+00:00","dateModified":"2022-03-25T13:12:06+00:00","inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.nextron-systems.com\/2013\/06\/04\/signatur-fur-windows-0-day-epathobj-exploit\/"]}]},{"@type":"WebSite","@id":"https:\/\/www.nextron-systems.com\/#website","url":"https:\/\/www.nextron-systems.com\/","name":"Nextron Systems","description":"We Detect Hackers","publisher":{"@id":"https:\/\/www.nextron-systems.com\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.nextron-systems.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.nextron-systems.com\/#organization","name":"Nextron Systems GmbH","url":"https:\/\/www.nextron-systems.com\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.nextron-systems.com\/#\/schema\/logo\/image\/","url":"https:\/\/www.nextron-systems.com\/wp-content\/uploads\/2017\/11\/Nextron_0.2s_inv_symbol_only.png","contentUrl":"https:\/\/www.nextron-systems.com\/wp-content\/uploads\/2017\/11\/Nextron_0.2s_inv_symbol_only.png","width":260,"height":260,"caption":"Nextron Systems GmbH"},"image":{"@id":"https:\/\/www.nextron-systems.com\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/www.nextron-systems.com\/#\/schema\/person\/4fd503007d60aabaf1ae747502f36919","name":"Florian Roth","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.nextron-systems.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/0dfaa838ce5d82e2e7bfa75ed3f43ae5?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/0dfaa838ce5d82e2e7bfa75ed3f43ae5?s=96&d=mm&r=g","caption":"Florian Roth"},"description":"Florian Roth serves as the Head of Research and Development at Nextron Systems. With a background in IT security since 2000, he has delved deep into nation-state cyber attacks since 2012. Florian has developed the THOR Scanner and actively engages with the community via his Twitter handle @cyb3rops. He has contributed to open-source projects, including 'Sigma', a generic SIEM rule format, and 'LOKI', an open-source scanner. Additionally, he has shared valuable resources like a mapping of APT groups and operations and an Antivirus Event Analysis Cheat Sheet.","url":"https:\/\/www.nextron-systems.com\/author\/florian\/"}]}},"_links":{"self":[{"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/posts\/7038","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/comments?post=7038"}],"version-history":[{"count":3,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/posts\/7038\/revisions"}],"predecessor-version":[{"id":7609,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/posts\/7038\/revisions\/7609"}],"wp:attachment":[{"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/media?parent=7038"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/categories?post=7038"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.nextron-systems.com\/wp-json\/wp\/v2\/tags?post=7038"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}