Архив спецвыпуска журнала Хакер на www.wisesoft.ru, номер #048, стр. 048-024-3, RPC DCOM для младшего братика

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #48, НОЯБРЬ 2004 г.

RPC DCOM для младшего братика

Наумов Юрий aka Crazy_Script

Спецвыпуск: Хакер, номер #048, стр. 048-024-3

XS: Расскажи читателям кратко о коварных багах RPC.

AA: Самая первая уязвимость (и самая опасная!) была обнаружена в июле 2003 года (описано в бюллетене безопасности MS03-026). Эту уязвимость эксплуатирует самый разрушительный червь за всю историю существования интернета - MSBlast. Спустя неделю после выхода MS03-026 китайцы сообщили еще об одной уязвимости в DCOM при обработке __RemoteGetClassObject, которая позволяла выполнить отказ в обслуживании даже при установленной заплате MS03-026. Данную уязвимость компания Microsoft устранила только через 2 месяца в совокупности с двумя новыми уязвимостями (MS03-039), позволяющими атакующему выполнить произвольный код на уязвимой системе, используя специально сформированный DCERPC "bind" пакет, за которым следует специально сформированный пакет DCOM object activation request. Однако на этом история не закончилась. Буквально через месяц впервые на сайте SecurityLab.ru был опубликован новый эксплоит, который вызывал отказ в обслуживании даже при установленной заплате MS03-039. Удаленный атакующий мог вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. Изначально предполагалось, что уязвимость может эксплуатироваться только для отказа в обслуживании, однако спустя полгода Microsoft наконец-то опубликовала исправление для этой уязвимости (MS04-012), в котором утверждалось, что она может эксплуатироваться для выполнения произвольного кода. В MS04-012 также было устранено еще три уязвимости в RPC DCOM: RPCSS Service Vulnerability, CAN-2004-0116, RPC over HTTP Vulnerability - CAN-2003-0807, Object Identity Vulnerability - CAN-2004-0124.

XS: А какой, на твой взгляд, самый эффективный и оптимальный способ защиты?

AA: Заплата, персональный фаервол. В большинстве случаев можно безболезненно отключать RPC DCOM.

25 июля 2003 года - переломный момент в эксплуатации RPC: техническое описание бага, множество сплоитов, MSBlast.

Автор статьи и редакция журнала не несут никакой ответственности за действия, совершенные читателем. Вся информация дана в сугубо образовательных целях.

С помощью RPC GUI Exploit v2 можно похакать даже ктайскую WinNT с SP5 :).

MSBlast - червь на основе бага RPC DCOM - стал самым разрушительным за всю историю интернета.

Назад на стр. 048-024-2 Содержание