Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hajsza az MS12-020 után

2012.03.16. 12:18 | buherator | 2 komment

Kedd óta gyakorlatilag a teljes IT-biztonsági szakma az MS12-020-szal javított RDP sebezhetőség kihasználásán pörög. A Freenode-on külön IRC csatorna (#ms12-020) alakult a különböző eredmények megosztására, a gun.io-n pedig eddig több mint 1400 dollárnyi felajánlás gyűlt össze az első teljes értékű exploit publikálója számára.

A fejlesztés alapját elsősorban a javítás diffelése és egy kínai fájlmegosztóról származó PoC képzi. Utóbbi egy .exe-t és egy hálózati dumpot tartalmaz - mint kiderült, a futtatható állomány hálózati dump megegyezik azzal, amit Luigi Auriemma, a sebezhetőség felfedezője nagyjából fél éve elküldött a ZDI-nek. Felmerül a kérdés: honnan szerezték meg ezt az állományt a kínaiak? A legkézenfekvőbb megoldásnak a Microsoft Active Protections Programja látszik, melynek keretében a cég részletes információkkal - akár konkrét PoC kódokkal - látja el a nagyobb biztonsági termékek gyártóit. A nyilvános partnerek listáját böngészve több keleti gyártót is találunk, és néhány olyat is, akikre személy szerint a sörömet sem bíznám rá...

Idő közben Auriemma a teljes eredeti bejelentést publikálta. Eszerint egy use-after-free problémáról van szó, ami akkor keletkezik, mikor egy RDP kliens egy olyan ConnectMCSPDU csomagot küld a kiszolgálónak, melynek maxChannelIds paramétere kisebb 6-nál, majd bontja a kapcsolatot. Jelenleg több kékhalált produkáló PoC is kering az interneten számos hamis kód mellett, valamint gyakran felbukkan egy orosz fórum linkje is, ahol egy képernyőképpel igyekeznek alátámasztani, hogy már rendelkeznek a csodafegyverrel. Jelenleg úgy látom, hogy a kódfuttatásra alkalmas exploit napokon belül megjelenhet nyilvános fórumokon (is). A státusz egyébként az http://istherdpexploitoutyet.com/ oldalon is monitorozható :)

Nem lehet eléggé hangsúlyozni: frissítsétek az RDP-t futtató gépeket, munkaszüneti nap ide vagy oda! A támadások/hibás szerverek detektálására alkalmas szignatúrák megjelentek Snorthoz illetve Nessushoz is (meg a Tipping Point eszközeihez is nyilván).

A cikk frissül, ha érdemi változás történik.

Friss:

A Microsoft gyakorlatilag elismerte, hogy a MAPP-ból származik a kiszivárgott kód, nyomoznak az ügyben, és "meg fogják tenni a szükséges lépéseket" a kiszivárogtatóval szemben. Az Errata posztja ismét ajánlható a témában.

Friss márc.19:

Úgy tűnik, Kostya Kortchinsky képes kontrollálni az EAX regiszter tartalmát.

Címkék: távoli asztal rdp mapp luigi auriemma ms12 020

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

boldii 2012.03.16. 21:30:15

Mivel kernel levelben van a hiba, megintcsak az esetleg a gond a működő exploithoz (vs. BSoD PoC), hogy kevés az info windows kernel level shell code-okról? Ne egyetek meg keresztben, ez tényleg egy kérdés, a múltkor nézelődtem, és nem nagyon volt triviálisan elérhető és konfigolható kernel level windows shellcode, ami volt, az meg elég speciális esetekben hasznos csak.

buherator · http://buhera.blog.hu 2012.03.17. 10:24:27

@boldii: Az EIP kontroll sztem nagyobb probléma, onnantól, hogy kernel módban tied a vezérlés, már meg lehet oldani bármit (főleg mivel ahogy olvasom az RDP elég sok "szemét" bevitelét megengedi). Az EIP viszont probléma.

Kernel módú stagert találsz az MSF MS10-073-ban pl.