ПЫШНЫЕ БУФЕРА:

Vint(vint@townnet.ru)

Спецвыпуск Xakep, номер #032, стр. 032-080-2

Продолжаю мучить "великий" сервант от мелкомягких. Сейчас в опалу попал IIS версией 4.5. Переполнение буфера нашли в компоненте ASP.DLL. CHINANSL Security Team первыми представили работающий эксплоит, который, правда, тестировался на китайской версии Windows 2000 :), но, тем не менее, он очень крут! Эксплоит переполняет буфер и открывает 1111-й порт, на который вешает системную консоль виндов! Код этого чуда можно взять тут: http://www.securitylab.ru/?ID=30586. Я его слил, скомпилил, запустил и, как честный человек, протестил на информатике в универской сетке (Валера, привет!), где админ поставил себе сервер на виндах :). Ну что сказать... Зря он патчи не ставил - я сменил пароль админа, задефейсил главную страничку, поковырял мыло, и все это легко и красиво через командную строку! Но был замечен один глюк: иногда на серваке выскакивает мессага об ошибке occured.anyhow; если юзер не закроет окошко, то эксплоит не будет фурычить :(.

Дальше полним буфер последних разработок мелких: локальное переполнение буфера в explorer.ехе. Сразу скажу, что этот финт исключительно под ХРень - народ тестил на Windows XP SP1, и у них работало, а у меня на W2k pro rus SP2 не хочет.

ЭКСПЛОИТ

Нужно намутить файл desktop.ini со следующим содержимым:

[.ShellClassInfo]

AAA... (всего 2300 символов).

Переполнение буфера происходит при просмотре каталога, где лежит этот desktop.ini. Как использовать, думаю, сам догадаешься.

ФИЛЬМЫ И МУЗЫКА - ОПАСНЫ!

Експлорер воистину полон дыр на переполнение: при автоматическом чтении атрибутов файлов MP3 и WMA Експлорером Windows XP происходит переполнение буфера, дающее возможность удаленного исполнения произвольного кода в системе. А самое-то интересное, что файл даже не надо открывать на воспроизведение, - проявление глюка происходит при простом просмотре папки, в том числе через Internet, расшаренный каталог и т.д. Конечно, звуковой файл должен иметь специальные теги, но эксплоит уже в пути. Возможно, когда ты будешь читать эти строки, его уже можно будет найти на www.securitylab.ru. И хотя эксплоит еще не готов, дядя Билл уже подсуетился и выпустил патчик, который нужно слить с мелкомягкой паги, так что счастливые юзеры ХРюши смело бегите и отдавайте траф злому Гейтсу.

ЗЛОБНЫЙ ТЕКСТОВИК

Бредем дальше. Security Defence Stdio сообщили, что в Windows 'riched20.dll' обнаружено переполнение буфера, позволяющее удаленному пользователю аварийно прибить приложение. Переполнение буфера может быть вызвано специально обработанными атрибутами в RTF файле, когда DLL рисует figure-string ('\fs'). Переполнение буфера происходит, когда (\fs) устанавливает размер шрифта, превышающий 1024 байт. Другие атрибуты могут быть также уязвимы. Вот как вызывали переполнение:{\rtf1\ansi\ansicpg936\deff0\deflang1033\deflangfe2052 {\fonttbl{\f0\fnil\fprq2\fcharset1 34 \'cb\'ce\'cc\'e5;}} {\colortbl;\red255\green0\blue255;} \viewkind4\uc1\pard\cf1\kerning2\f0 \fs18121111111111111111111111111111111110000 www.yoursft.com\fs20\par}.