Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Sok kicsi sokra megy

2008.06.17. 14:42 | buherator | 7 komment

Amikor először láttam a szőnyegbombázós Safari trükköt, nem gondoltam volna, hogy még egy hónap múlva is erről fognak beszélni. Aztán Aviv Raff felfedezte, hogy a hiba hozzásegíthet ahhoz, hogy tetszőleges kódot futtassunk Safarit és Internet Explorert egyaránt futtató Windows felhasználók számítógépén. Ez már sokkal érdekesebbnek hangzott, de érthető okokból részleteket nem árultak el. Most viszont Liu Die Yu közzétette a támadás lépéseit, melyeket - mint kiderült - bárki, aki az utóbbi két évben nyomon követte az IT-biztonság híreit ki tudott volna sakkozni.
Valójában két olyan veszélytelennek tűnő lehetőség kombinálásáról van szó, amelyekről a két gyártó - a Microsoft és az Apple - már rég óta tud, de nem tekint biztonsági problémának, ezért nem is javít. Az első a már említett Safari szőnyegbombázás, melynek segítségével a felhasználó tudta nélkül lehet fájlokat letölteni az Asztalra. A második pedig nem más, mint a  régi jó Internet Exploreres DLL betöltési furcsaság: a böngésző ahelyett, hogy a megfelelő dinamikus könyvtárakat a szokásos rendszerkönyvtárakból töltené be, először a PATH rendszerváltozóban szereplő könyvtárakban  - köztük a felhasználó Asztalán - kezd keresgélni, és ha talál egyező nevű fájlt, akkor azt fogja betölteni a rendes DLL helyett.
Innentől kezdve remélem senkinek nem okoz problémát, hogy összerakja a darabokat... Tény, hogy a támadás valószínűsége viszonylag kicsi, de a kivitelezés nem elképzelhetetlen! Másrészt azt hiszem ez az eset szép példája annak, hogy hogyan válhat egy jelentéktelennek tűnő kis bug fenyegető biztonsági réssé.

Gyors frissítés: Érdemes volt átnézni a kommenteket is, kiderült még egy pár érdekes részlet. Először is a DLL betöltést nem az IE, hanem a Windows LoadLibrary függvénye szabályozza, tehát ez egy operációs rendszer szintű tulajdonság. Másrészt az egyik hozzászó szerint a dolog emiatt tovább gondolható: mi van, ha a kernel32.dll-t töltjük le? Ilyenkor elképzelhető, hogy bármilyen új program (nem csak IE) betöltésekor lefut a kódunk! Érdemes lenne eljátszani vele...

Címkék: safari internet explorer

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

.Andrei (törölt) · http://www.andreiground.com/ 2008.06.18. 14:43:37

Az ilyen jellegű lehetőségekben pontosan az egyszerűségük a durva. Lehet, hogy a hétvégén lesz időm és az egyik win partíción játszok egy kicsit. Bár mostanában havasokban vagyok.

Úgy látom, hogy csak IE7 alatt van, de gondolom ez az áldásos lyukacska öröklődni fog.

Érdemes Liu Die Yu oldalán a kommenteket is olvasgatni. Egész jó kis ötlettár...

sghctoma 2008.06.18. 22:46:23

".. először a PATH rendszerváltozóban szereplő könyvtárakban - köztük a felhasználó Asztalán - kezd keresgélni, és ha talál egyező nevű fájlt, akkor azt fogja betölteni a rendes DLL helyett."

nos, ez így nem pontos... a PATH-ban nincs bent az asztal alapból... a LoadLibrary API először abban a könyvtárban néz körül, ahol van az alkalmazás, aztán az aktuális (working) könyvtárban.. és ez a gond.. ugyanis ez a könyvtár az asztal, ha az asztalról, vagy a start menüből indítottunk valamit..

pem 2008.06.19. 00:22:43

hohh comment:

"Készülök ugyanis, nagy unalmaban egy kis aranyos shell scriptel, amit fel szeretnék ajánlani a köz szolgálatára. :D Benne van már egy fél délután, de azért még erőteljesen 0.1 béta szagú szegényke. Várok addig is ötleteket is, mit látnátok szívesen."

Ne faradj, par ezer ember mar megelozott. Tobbek kozt: pentestmonkey.net.

Azt mar nem is mondom, hogy r57...

pem 2008.06.19. 00:25:28

Reinventing the steel...
Kezdem erteni Raavencroftot...

sghctoma 2008.06.19. 00:42:44

elnézést a duplázásért..

kicsit utánanéztem a dolognak, mert én egy régi Win API doksiból tanultam Win32-t, hátha változott valami... változott.. XP SP2-től már alapból engedélyezett a SafeDllSearchMode.. így az aktuális könyvtár visszakerült a system32, system, és a windows mappák mögé.. ergo nem hinném, hogy ez rendszerszintű probléma, valami az IE-ben van elszúrva...

próbáltam Olly-ban breakelni minden LoadLibrary-re IE-t futtatva, de schannel.dll-t egyszer sem próbál ezzel a fv-el betölteni.. szóval wtf? kár, hogy bevmatot kell tanulnom, marha kíváncsi vagyok...

.Andrei (törölt) · http://www.andreiground.com/ 2008.06.19. 12:35:15

@sghctoma: akkor én már nem is tesztelem, mert Te jobban benne vagy ebben a dologban és tapasztaltabb is vagy e téren. Viszont, ha bepróbáltad rendesen, akkor kíváncsi vagyok a végeredményre.

scripter-man 2008.06.19. 14:27:02

Kedves @pem: Először is köszönöm, hogy aggódsz a sok elpazarolt időm miatt.
Másodszor nem a spanyolviaszt akartam felfedezi, szerintem, ez a kommentből sem érződik. ( kövezzetek meg ha igen. ) Egy meglévő technikát szeretnék a saját módszeremmel kivitelezni. ( Ne adj isten tovább fejleszteni. )
Harmadszorra pedig csak annyit, hogy asszem már az elején említettem, hogy léggé foghíjas a tudásom. És mint tudjuk gyakorlat teszi a mestert.