книги хакеры / журнал хакер / 092_Optimized

NT: удаленная дыра в DCHP-сервисе

Brief

11 июля 2006 Mariano Nuuez Di Croce, сотрудник копании CYBSEC S. A. (cybsec.com), опубликовал сообщение о переполнении буфера в Microsoft Windows DCHP-клиенте (технически реализованном как сервис), приводящем к возможности удаленного выполнения кода с привилегиями SYSTEM, при условии, что атакующий и жертва находятся в одной подсети: cybsec.com/vuln/CYBSEC-Security_Pre Advisory Microsoft_Windows_DHCP_Client_Service Remote_Buffer_Overflow.pdf; сообщение тут же подхватила Microsoft, выпустив оперативную заплатку вместе с описанием проблемы на TechNet:microsoft.com/technet/security/Bulletin/ MS06-036.mspx, где уязвимости был присвоен критический уровень опасности. Аналогичную оценку выставила и французская компания FrSIRT:frsirt.com/english/advisories/2006/2754.

Targets

Уязвимости подвержены следующие системы:

Windows 2000 Professional / Standard Server / DatacenterServer/AdvancedServer;XPTabletPC / Media Center / Home / Professional/Professional x64 /Datacenter Server / Advanced Server; Server 2003 Standard / Standard x64 / Web/ Enterprise / Enterprise x64/Datacenter/Datacenter x64 со всеми установленными Service Pack'ами. На NT и 9x эта угроза не распространяется.

Отключение DHCP-клиента для предотвращения атаки через системную консоль

Exploits

Компания Cybsec S. A. будет удерживать все технические детали атаки (и сам exploit) в течение 30 дней, после чего выложит их в публичный доступ (как раз к выходу журнала из печати).

Solution

а) установить заплатку от Microsoft, которую можно скачать с update.microsoft.com, b) отключить DHCP-клиента через Панель Управления -> Администрирование -> Службы -> DHCPклиент -> Свойства -> Тип запуска -> Вручную; Свойства -> Стоп; или из командной строки «sc stop DHCP -> sc config DHCP start=disabled», при этом перезагружаться не обязательно. После останова DHCP-сервиса все IP-адреса локальной сети придется присваивать вручную (что легко осуществить дома, но намного сложнее в корпоративной сети). На выделение динамических IP-адресов по Dial Up'у остановка DCHP-сервиса никак не скажется (подробнее о DCHP можно прочитать в IETF RFC 2131 — rfc. net/rfc2131.html).

ОБЗОР ЭКСПЛОЙТОВ

хакером по прозвищу naveed (naveedafzal@gmail. com). Она относится к функции LsCreateLine, экспортируемойбиблиотекойmso.dll(иливболеестарых версиях офиса — mso9.dll). Специальным образом созданный doc-файл вызывает обрушение Word'а с ошибкой доступа, но также может перезаписыватьпроизвольноедвойноеслововпамяти, позволяя осуществлять передачу управления на shell-код: securityfocus.com/archive/1/439649. Сообщение быстро расползлось по сети: security.nnov. ru/Gnews345.html; securityfocus.com/bid/18905, но Microsoftоказаласьснимкатегорическинесогласна, опубликовав на своем Security Response Center Blog'е опровержение, что, мол, падать-то Word падает, а вот возможность передачи управления на shell-код весьма сомнительна: blogs.technet.com/ msrc/archive/2006/07/10/441006.aspx;личнояпосле отладки и дизассемблирования придерживаюсь мненияnaveed'а.

Также была обнаружена кривизна в реализации указателей на объекты, приводящая к возможности выполнения shell-кода (securityfocus. com/bid/18037), и уже появилась пара виру- сов-червей, распространяющихся через дыру Backdoor.Ginwui (symantec.com/avcenter/venc/ data/backdoor.ginwui.html) и Trojan.Mdropper.H, (securityresponse.symantec.com/avcenter/venc/ data/trojan.mdropper.h.html).

Имеются ошибки и в обработке графических файлов форматов GIF и PNG, опять-таки приводящие к возможности выполнения shell-кода: (securityfocus.com/bid/18913 и securityfocus.com/ bid/18915). Свойства объектов (property) и разборка (parsing) строк не отстают от своих товарищей и выполняют shell-код не хуже остальных (securityfocus.com/bid/18911 и securityfocus.com/ bid/18912). Не остается без внимания и Excel — в обработке стилей и выделении записей обнаружены дефекты, приводящие к возможности выполнения shell-кода: securityfocus.com/bid/18872, securityfocus.com/bid/18422 и securityfocus.com/ bid/18885. Плеяду ошибок завершает дыра в библиотеке hlink.dll, отвечающая за обработку стилей

Обрушение WinAmp'а

c ZDL-ANALOG-STUDIO-5 скином

разных типов записей и при определенных обстоятельствах допускающая передачу управления на зловредный код: security.nnov.ru/Gnews270.html.

Target

Вся линейка продуктов MS Office.

Exploits

•securityfocus.com/data/vulnerabilities/exploits/ MSOffice_mosdll_poc.c;

•downloads.securityfocus.com/vulnerabilities/exploits/ excel-rce-nsrocket.txt;

•securityfocus.com/data/vulnerabilities/exploits/ Nanika.xls;

•bsdpakistan.org/downloads/wordPOC.c;

Solution

Некоторые из вышеперечисленных дыр успешно подтверждены Microsoft, и для них выпущены заплатки:некоторыевсеещеостаютсянезалатанными,поэтомунеотрывай документов,полученныхиз ненадежныхисточников!

WinAmp: переполнение

буфера в midi

Brief

19 апреля 2006 года в популярнейшем mp3-про- игрывателеле WinAmp от Null-soft был обнаружен дефект в библиотеке in_midi.dll, отвечающей за проигрывание midi-файлов и некорректно проверяющей правильность заполнения некоторых полей. В результате чего у атакующего появилась возможность«уронить»WinAmp(которыйприэтом настойчиво предлагает перезапустить систему, хотя ее можно и не перезапускать) или передать управление на shell-код. Следующий 34-байтовый

midi-файлосновательносноситWinAmp'укрышу:

midi-файл, вызывающий обрушение WinAmp'а

0000:4D 54 68 64 00 00 00 06 | 00 00 00 01 00 60 4D 54 0010:72 6B 00 00 00 FF FF FF | FF FF FF FF FF FF FF FF 0020:FF 00

Поскольку WinAmp может быть настроен так, чтобы проигрывать midi-содержимое web-страничек вместо основного системного проигрывателя (многиепользователиименнотакегоинастраивают), угроза очередной вирусной эпидемии принимает довольно масштабный характер, особенно учитывая тот факт, что WinAmp, в отличие от системы, практически никто не обновляет. К тому же исходноесообщениеодыреосталосьнезамеченным, даже когда оно было опубликовано вторично

— 29 мая 2006 года, — то есть ровно через месяц спустя. На Security-Focus оно попало с огромным (инехарактернымдлянего)опознанием—19июня 2006 года (securityfocus.com/bid/18507).

Targets

ВсеверсииWinAmp'адо5.21включительно.

Exploit

•securityfocus.com/data/vulnerabilities/exploits/ winamp_midi_bof.c;

Solution

а/ обнови свою версию WinAmp'а до 5.22 (или выше), чтобы устранить несовместимость с ранни- миplug-in'ами;

б/ не используй WinAmp для проигрывания midiфайлов,сбросивсоответствующуюгалочкувфайловых ассоциациях, а также удалив файл in_midi.dll изкаталогаPlugins.

Исследование упавшего Word'а под отладчиком OllyDbg

NT: удаленная дыра в TCP/IP-драйвере

Brief

13 июня 2006 на Microsoft TechNet появилось сообщение о переполнении буфера в TCP/IP-драй- вере, позволяющее «уронить» систему в голубой экран смерти и даже передать управление на shellкод, выполняющийся с привилегиями SYSTEM: microsoft.com/technet/security/Bulletin/MS06-032. mspx; опасности был присвоен important-статус, и через несколько часов она перекочевала на www. securityfocus.comидругиехакерскиесайты.

Targets

Уязвимости подвержены следующие системы: NT Workstation/Standard Server / Terminal Server / Enterprise Server; W2K Professional/Standard Server/ Datacenter Server / Advanced Server; XP Tablet PC / Media Center / Home / Professional / Professional x64/ Datacenter Server / Advanced Server; Server 2003 Standard/Standard x64 / Web / Enterprise / Enterprise x64 / Datacenter / Datacenter x64 со всеми установленными Service Pack'ами. Другими словами, уязвима вся линейка NT-подобных систем. На 9x эта угрозанераспространяется.

Exploits

•securityfocus.com/data/vulnerabilities/ exploits/18374-DoS-PoC.c;

•securityfocus.com/data/vulnerabilities/ exploits/18374-DoS-PoC.txt;

Solution

а) установить заплатку от Microsoft, которую можно скачать с update.microsoft.com, б) отключить IP Source Routing (IP-маршрутизацию от источника) путемсозданияпараметраDisableIPSourceRouting типа DWORD со значением 2 в следующем ключе:

Доработанный exploit валит систему с 2-х пакетов

ОБЗОР ЭКСПЛОЙТОВ

Истинное содержимое файла Windows2000-KB917953-x86-RUS.EXE

том,чтоприсвободноймаршрутизацииочередной узел навязанного маршрута может быть достигнут за любое количество переходов (также называемых хопами), а при жесткой — очередной узел должен быть достигнут за 1 переход, а если это невозможно, то пакет уничтожается с генерацией ICMP-сообщения о невозможности доставки.

Списокузлов,черезкоторыедолженпройтипакет, содержится в поле данных, которое вмещает до 9 IP-адресов, перечисляемых в порядке следования. Поле ptr указывает на текущий номер обрабатываемого узла и каждый раз увеличивается на 4,причемномерпервогоадресаравен4.

Рассмотрим пакет, направляющийся из узла X в узел Y и проходящий через маршрутизаторы M1 и M2. На выходе из узла X в поле «Destination Address» (адрес назначения) IP-пакета содержится адрес M1, а в списке «навязанных» адресов (в поле options) — M2 и Y, при этом ptr равен 4, то есть указывает на M2. По прибытии пакета на M1 из поля «навязанных» адресов извлекается адрес, определяемый указателем ptr (в данном случае это M2) и копируется в поле «Destination Address», ptr увеличивается на 4, а поверх адреса M2 записывается адрес того интерфейса маршрутизатора M1, через который пакет будет направлен на M2 (это и называется «записью маршрута»). По прибытии на M2 вся процедура повторяется, и пакет передается конечному получателю Y, а в поле опций оказывается записанным маршрут пересылки. Когда узел Y получает пакет с опцией Loose Source/ Strict Source, он должен использовать записанный маршрут для обратной отправки отклика.

Опции Loose/Strict Source Routing могут быть использованы для несанкционированного проникновения через неправильно настроенный брандмауэр: в поле destination address устанавливается разрешенный адрес, и пакет благополучно пропускается брандмауэром, далее из поля опций извлекается запрещенный адрес (который забывает проверитьбрандмауэр),ипакетперенаправляется по навязанному маршруту прямиком к атакуемому узлу, но к описываемой дыре в TCP/IP-протоколе этаособенностьникакнеотносится.

Формат поля опций IP-пакета при свободной/жесткой марштузизации от источника

Теперь, учитывая все вышесказанное, попробуем разобратьсясexploit'ами.Ключкоманднойстроки -j Window-утилитыtracert,соответствующийключу- gLinux-утилитыtraceroute,задаетсвободныйвыбор маршрутапоспискуузлов,средикоторыхприсутствует только один узел — 0.0.0.0. Это специальный IP-адрес,буквальнообозначающий«данныйузел». Ключ-hутилитыtracert(соответствующийключу-m утилиты traceroute) ограничивает максимальное число переходов при поиске следующего назначенного узла, равное в данном случае 1, то есть мы как бы имитируем «Strict Source Routing» (на который tracere/traceroute не способны) на основе опции «Loose Source Routing», поддерживаемой утилитамитрассировки.Чтожеполучаетсявитоге?

Авотнихренанеполучается!Мне,несмотрянавсе усилия, так и не удалось завалить ни одну систему из списка уязвимых: ни в локальной сети, ни через интернет, ни из-под Windows, ни из-под Linux. Прежде всего в Си-версии exploit'а допущена грубая ошибка, ограничивающая предельную длину IPадресавсего9знаками,тоестьприпопыткеатаковать, например, «192.168.7.2», IP-адрес усекается,

иатакуется несуществующий узел «192.168.7». Замена всех strncat(x,y,9) на strncat(x,y,15) решает проблему (естественно, размеры буферов необходимоувеличитьтоже),ноатакуемыеузлыупорно падатьнехотят.Почему?!

Запускаем sniffer и смотрим на содержимое отправляемых пакетов. Видно, что адрес 0.0.0.0 вообще не попадает в «навязанный» список узлов,

ивместо него там оказывается destination-адрес, продублированный в соответствующем поле IP-заголовка. Не исключено, что в какой-то конфигурации,которуюмнетакинеудалосьвоспроизвести, это вызывает помешательство NT, и она начинаетпосылатьпакетысамасебе,проваливаясь в бесконечный цикл, завершающийся переполнениемстека.Нокакбытамнибыло,Microsoft все-таки выпустила patch и представляет большойинтересраспотрошитьегоипосмотреть,что же все-таки изменилось?

Сейчас я продемонстрирую интересную технику поиска различий, которая неоднократно пригодится нам, хакерам, в будущем. Берем в руки файл

Формат IP-заголовка

Windows2000-KB917953-x86-RUS.EXE (для XP он будетслегкаиным,нообщийпринципдействийостанется неизменным), загружаем его в hiew и ищем строку «MSCF» (Microsoft Cab-File), следующую за длинной последовательностью «PADDINGXXX». Перемещаем курсор на первый символ «MSCF» и нажимаем <*> (начало выделения блока), а затем топчем <CTRL-END> для перемещения в конец файла. Нажимаем <*> еще раз и записываем блок в файл клавишей <F2>. Называем его, ну, скажем, TCP.CAB и открываем любым подходящим архиватором,например,RAR'ом.

Там, среди прочего потребительского барахла, присутствующего во всех обновлениях, мы обна- жимTCPIP.SYS—то,чтонужно!Вытаскиваемегоиз архиваисравниваемсимеющейсяунасверсией. Сразу же бросается в глаза, что длины файлов не совпадают — 320,176 байт старой версии против 320,336 байт у новой, — поэтому прямое побайтовое сравнение невозможно! Очевидно, что драйвер был перекомпилирован, — необходимо прибегнуть к дизассемблированию, сравнивая версии на уровне мнемоник машинных команд (вряд ли весь исходный текст драйвера был изменен). Дизассемблируем оба драйвера с помощью IDA Pro и сохраняем полученные листинги в файлы old.lst и new.lst (от экспорта в аsmформатлучшевоздержаться,посколькуунегоне ладится с табуляцией, и мы не сможем отрезать операнды машинных инструкций, когда нам это будетнеобходимо).ПриотсутствииIDAProможно воспользоваться утилитой DUMPBIN из комплекта поставки Microsoft Visual Studio, запустив его с ключом /DISASM.

Полученные листинги можно сравнить либо «продвинутой» графической утилитой windiff, также входящийвсоставMicrosoftVisualStudio,либопростой консольной fc.exe, позаимствованной из штатнойпоставкиWindowsNT.Тутжеобнаружитсяследующая пренеприятнейшая проблема: поскольку после рекомпиляции многие смещения изменились, то утилиты сравнения выдают ворох ложных срабатываний, в котором очень легко утонуть, так и не добравшись до истины. Например, различные версии файлов имеют разные смещения функций/

Исследование IP-пакетов, отправляемых exploit'ом

Сравнение дизассемблерных листингов двух версий TCPIP.SYS

jbe short loc_1DF48

В старой версии драйвера был только один вызов PsGetCurrentProcessId, и переменная [esi+2Ch] оставалась неинициализированной. Теперь это исправлено. Аналогичным путем находятся и другие различия. Признайтесь, разве это неинтересно — узнать, что же реально исправила Microsoft и где находится источник про- блемы.Проанализировавситуацию,мывсе-таки сможемисправитьexploit,заставивегоработать (копия экрана, подтверждающая это, приводится ниже — по понятным соображениям, исправленный exploit не распространяется, во всяком случае, до тех пор, пока большинство пользователей не почешутся обновить свою систему).

Рекомендуется прочитать руководство «How to: Harden the TCP/IP Stack»: msdn.microsoft. com/library/default.asp?url=/library/en-us/ dnnetsec/html/HTHardTCP.asp; а также ознакомиться с информацией о двух других дырах в TCP/IP-драйвере, допускающих выполнение shell-кода: securityfocus.com/bid/18325 и securityfocus.com/bid/18374. z

/ КОНКУРС

BLOODEX

/ BLOODEX@REAL.XAKEP.RU /

Помнишь счетчик посещений на главной странице? Это картин-

ка visit.php?dir=&img=visit.png.

Когда заходишь на страницу первый раз, скрипт добавляет «.» перед именем картинки и напрямую выводит ее контент. Что получится, если мы натянем на браузер прокси и вызовем visit.php?dir=downloads/ &img=htpasswd? Верно, получим / downloads/.htpasswd, который брутим по алгоритму md5. Когда компьютер выдумает верный пароль, мы сможем использовать его, чтобы скачать клиент. Но с

клиентом нас поджидает облом, так как без лицензионного ключа прога пахать не будет. Ну и пусть, все равно можно и без него обойтись. Просто сканим порты на серваке, находим 79-й порт и телнетимся к нему. Только вот непонятно, какие команды надо вводить, чтобы демон не ругался. Одну команду берем из ресурсов прогиклиента, другую — со скриншота. Итого две команды: «connect p2p» и «post file d:\ private\keys». До остальных допираем сами, кнопки в проге — подсказки. В общем, чтобы украсть файл, нужно вводить примерно

следующие команды:

Connect p2p

Login a;’ or login=’sosiska

Post file d:\private\keys

Get file d:\private\keys

Обративнимание,чтововторойстрочкенаходится mysql-injection. Если ты выполнил все правильно, файл с ключами — у тебя в руках. Ïервым конкурс прошел Дмитрий «xbid». Вручаем счастливцу крутую видяху MSI NX6800GS. z