Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Utolsó shellnyomtatós poszt

2010.10.04. 13:54 | buherator | 7 komment

SGHCTomának hála megoldódott a "rejtély", a következők derültek ki:

  • A hakin9 magazinban valóban le volt írva az MS10-061-es sebezhetőség, de furcsa módon a cikk szerzője sem fedezte fel a benne rejlő (távoli kódfuttatást biztosító) lehetőséget, így a cikk a helyi jogosultságkiterjesztésre ment rá, és így nekem is elkerülte a figyelmemet a dolog.
  • Mint kiderült, az említett cikkben tárgyalt jogosultságkiterjesztésre alkalmas módszer nem pontosan úgy működik, ahogy le van írva. Nem a wmarkps.dll, hanem a wmarkui.dll belépési pontjára kerül SYSTEM joggal a vezérlés.
  • Bár a távoli kódfuttatás lehetősége javítva lett, a jogosultságkiterjesztés még mindig működik teljesen patchelt rendszereken!

És hogy meglegyen a tanulság a mai napra is, íme, hogyan érhető el kódfuttatás fájlírással Windowson:

Az MS10-061-et kihasználó Metasploit modul nem egy, hanem két fájlírást végez: az első létrehozza magát a lefuttatandó állományt, a másik pedig az ATSVC named pipe-ot nyitja meg írásra. Ezen keresztül RPC hívások indíthatók a Windows időzítő szolgáltatása felé, vagyis az elsőnek létrehozott fájl felírható a "lefuttatandó folyamatok" listájára. Külön gyönyörű, hogy a rendszeridőt és időzónát a távoli hoszt SMB válaszában visszakapjuk a nyomtatóhoz történő csatlakozáskor :)

Szóval ennyi volt a móka, most pedig egy kicsit más vizekre evezek...

Címkék: ms10 061

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

kino 2010.10.04. 15:17:28

kész átjáróház

John:Smith 2010.10.05. 00:21:37

Le kell tiltani a Scheduler service-t. Conficker ellen is jó. Ez ellen is. De azért érdekes....

buherator · http://buhera.blog.hu 2010.10.05. 00:41:12

@John:Smith: Ezzel a problémát nem szünteted meg, fájlt írni (vagy akár) ugyanúgy fognak tudni írni. Mivel a támadó SYSTEM jogokkal rendelkezik, elméletileg vissza is kapcsolhatja a szolgáltatást vagy elérhet kódfuttatást más módon!

John:Smith 2010.10.05. 02:01:56

SYSTEM jogot már az AT után kapsz., hiszen az AT ad SYSTEM jogot. Persze, nem szünteti meg a problémát, (Conficker-nél sem), csak workaround...

_2501 2010.10.05. 10:22:47

@John:Smith: ha van jogod az at-hoz.

buherator · http://buhera.blog.hu 2010.10.05. 11:04:39

@John:Smith: Nem az AT ad SYSTEM jogot, az csak lefuttatja a fájlt, amit te már előzőleg SYSTEM-ként létrehoztál. Az AT azért futatja le SYSTEM jogosultsággal a cuccot, mert már SYSTEM-ként írsz a named pipe-ba.