Хитовые уязвимости

Докучаев Дмитрий aka Forb

Спецвыпуск: Хакер, номер #048, стр. 048-012-1

(forb@real.xakep.ru)

RPC-DCOM и ASN.1

Об этом баге знает каждый школьник. Это была брешь в службе RPC, широко используемой в системе Windows. Об уязвимости узнали 16 июля прошлого года, но подробности никто разглашать не собирался. Лишь потом стало известно, что программисты Microsoft допустили две фатальных ошибки, которые приводили к переполнению буфера и позволяли взломать систему, со всеми существующими на тот момент сервиспаками. В итоге, репутация MS была подмочена: эксплоит RPC DCOM, который вышел практически сразу после релиза бага, стал самой хитовой хацкерской тулзой за всю историю существования корпорации.

Но скрипткиди с мощным оружием в руках - полбеды. Настоящая же напасть пришла после запуска червячка MSBlast. Наверняка ты сам становился жертвой вируса, симптомы которого - частые перезагрузки, сообщения о завершении сервисов, стремительная утечка трафика и лишний файл msblast.exe, поселившийся в каталоге WINNT. За несколько дней червяк поработил миллионы машин и унес миллиарды долларов убытвов у корпораций. Пострадала и сама Microsoft: в определенное время MSBlast старательно DDoS’ил сайт www.windowsupdate.com.

Баг в библиотеке ASN.1 (Abstract Syntax Notation One) появился позднее бреши DCOM. Однако из-за уязвимости снова пострадала Microsoft и другие известные компании. А, казалось бы, обычное переполнение кучи. Оверлоад прослеживался в некоторых функциях библиотеки MSASN1.DLL (они отвечают за безопасную передачу данных). Именно из-за того что функции библиотеки используются в сторонних приложениях (SSL в IIS, IP-телефония, сервис lsass и т.п.), уязвимость стала действительно хитовой. После ее релиза и выхода первых эксплоитов появился червячок Sasser, который за несколько минут cмог поиметь тысячи машин различных корпораций. Симптомы заражения похожи на MSBlast'овские.

Защита:

Единственная защита от разрушительных ошибок - специальные патчи, которые программисты заботливо выложили на microsoft.com. Также можно закрыть фаерволом 135-й, 139-й и 445-й порты и спать спокойно.

Подробнее:

Об RPC-уязвимостях написано множество статей. Можешь почитать статью о DCOM-баге в Хакере за 09/2003 или Спеце #08.2004(45) "Buffer overflow", посвященном переполнению буфера. Также смотри www.securitylab.ru/42702.html - там находится список уязвимых функций в ASN.1 и полное описание бага от eEyes.

Баг в Utility Manager (для Win2000)

Баг в менеджере был обнаружен с полгода назад, но совсем недавно умельцы-программисты написали утилиту, позволяющую поднять права прямо из консоли. Суть бреши заключается в следующем: взломщик запускает utilman (который выполняется с SYSTEM-привилегиями), затем обращается за помощью, а в качестве help-файла указывает cmd.exe. В итоге, взломщик получает полноценную администраторскую консоль. С помощью нехитрых API-вызовов был написанконсольный эксплоит, повышающий привилегии пользователя.

Защита:

Сначала эксплоит не был локализован и мог сразить только английскую Винду. Через несколько дней грамотные люди добились локализации, таким образом, поставив под угрозу любую версию Win2k. Но, как говорят пострадавшие и атакующие, эксплоит не дает желаемых результатов на Windows 2000 с четвертым сервиспаком. Выводы делай сам :).