Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kingcope mikuláscsomagja

2012.12.08. 15:22 | buherator | Szólj hozzá!

Kinkcope korai mikulásként december elején elküldött néhány érdekességet a Full-Disclosure listára. Lássuk mit kaptak a rosszcsontok csoki helyett!

Oppa Stuxnet Style!

A közzétett exploitok egy része fájl írási lehetőségeket használ fel parancsvégrehajtásra. A felhasznált módszer először a Stuxnet által kihasznált Windows Printer Spooler Service sérülékenység révén vált széles körben ismertté: A Windows Management Instrumentation periodikusan olvassa a %SYSTEM32%\wbem\mof könyvtárat új osztályleírók után kutatva. Egy ide helyezett .MOF fájlban megadható egy eseményszűrő, valamint a szűrőhöz tartozó szkript. A Stuxnet, valamint Kingcope exploitjai is létrehoznak egy szűrőt, ami Windows órájára figyel, és a megfelelő időpontban (konkrétan a másodperc számláló 5-ös értékénél) egy ActiveX vezérlőn keresztül lefuttatnak egy másik, a rendszerbe feltöltött EXE fájlt. 

Ezzel a módszerrel működik például a FreeFTPD távoli kódfuttatás exploitja: A kiszolgáló a FreeSSHD hibás protokollmegvalósítását használja az FTPS burkoló megvalósításához, így az autentikáció a kliens módosításával megkerülhető. Mivel azonban az FTP kiszolgáló alapból nem biztosít shellt, a fenti módszer kerül alkalmazásra a parancsvégrehajtás eléréséhez.

Kingcope ezen kívül két új implementációt ad MySQL-en keresztüli oprendszer vezérlésre: az egyik lényegében megegyezik a már rég óta ismert UDF technikával, a másik viszont a Stuxnet módszerrel egy kicsival talán kisebb megkötést ad a támadónak (nem kell CREATE FUNCTION, csak CREATE FILE jog).

0-day-ek

A legnagyobb újdonságot két MySQL 0-day hiba jelenti. Egy stack és egy heap overflow problémáról van szó: előbbi felháborítóan egyszerű, egyetlen GRANT utasításra triggerelődik, ha az adatbázisnév kellően hosszú és közvetlen EIP vezérlést ad, utóbbi egy érvénytelen DELETE utasítás esetén ad 4 byte-nyi kontrollt a támadónak a kiszolgáló egyik pointere felett.

A stack overflow-t a MySQL-ben és a MariaDB-ben is, a heap overflow-t ahogy látom egyelőre csak a MariaDB-ben javították.

Bár a sérülékenységeket Kingcope csak PoC formában publikálta (a mysqld meghal, de támadói kód nem fut le), már ez is elég egy elegáns jogosultságkiterjesztés bemutatásához:

Ha van egy felhasználónk, aki képes fájlokat írni, létrehozhatunk egy TRIGGER fájlt, amiben gonosz módon a root-ot adjuk meg tulajdonosként, így a trigger az ő nevében fut le. Azaz csak futna, ugyanis a fájl nem kerül betöltésre a kiszolgálóba annak újraindulásáig, ehhez viszont elég zavart okoznunk az erőben a fenti stack overflow-val. Következő alkalommal, mikor a TRIGGER feltétele teljesül, az általunk meghatározott utasítás fog lefutni a root felhasználó jogkörével.

Bónuszként van itt még egy autentikáció utáni DoS-ra alkalmas sérülékenység az UpdateXML() eljárásban, valamint egy felhasználó enumerációs technika, ami abból adódok, hogy a 4-es vagy régebbi MySQL kiszolgálók autentikációs módját 5-ös kiszolgálóknál használva elrontott bejelentkezéskor különböző hibaüzenet jön vissza létező illetve nem létező felhasználók esetén. Kingcope felhívja a figyelmet továbbá, hogy bejelentkezett felhasználók viszonylag gyorsan képesek jelszavakat pörgetni online a MySQL protokolljában definiált change_user parancs segítségével. 

Címkék: mysql 0day wmi kingcope freesshd freeftpd

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.