Обзор эксплойтов

Докучаев Дмитрий aka Forb

Xakep, номер #066, стр. 066-051-1

(forb@real.xakep.ru)

Lsasrv.dll RPC buffer overflow

Описание:

В мартовском выпуске я описывал уязвимость в сервисе Lsass. Недавно появился свежий и более функциональный эксплойт, открывающий на уязвимой машине шелл. Хакер способен получить полный доступ к серверам под управлением WinXP/2k, причем админа не спасут даже установленные сервис-паки - бага таится во всех выпущенных пакетах от SP1 до SP4. Суть уязвимости я уже описывал - это обычное переполнение буфера. Новый сплойт снабжен мощным шеллкодом, который и открывает заветный шелл на указанном порту. Более того, спустя неделю после выхода эксплойта, была представлена софтина, которая автоматически сканирует заданный диапазон адресов на уязвимость и рутает бажные машины. Таким образом, теперь все действия взломщика сводятся к указанию диапазона IP-адресов. Берегитесь, ленивые админы!

Защита:

Защититься можно двумя способами. Во-первых, следует установить обновление от MS (www.xakep.ru/post/21189/default.asp). Во-вторых, можно защитить систему обычным файрволом, для этого рекомендуется пресекать все внешние подключения на следующие порты: TCP: 135, 139, 445, 593; UDP: 135, 137, 138, 445.

Ссылки:

Скачать исходный код эксплойта можно по адресу www.securitylab.ru/_Exploits/2004/04/HOD-ms04011-lsasrv-expl.c. Для ленивых - ссылка на уже скомпилированный бинарник: www.openwww.net/soft/HOD-ms04011-lsasrv-expl.exe. Для самых ленивых - линк на сканер уязвимых машин: www.security.nnov.ru/files/lsassaroot.zip.

Злоключение:

Багу в сервисе Lsass можно приравнять к нашумевшей уязвимости в RPC DCom. Хотя бы потому, что в Сети уже орудует мощный червяк Sasser, который принес массу проблем и убытков многим сетевым компаниям. Учитывая факт, что наши (да и зарубежные) администраторы не любят накладывать хотфиксы, хакеры еще долго будут глумиться над зараженными операционными системами.

Greets:

Автором полноценного эксплойта, а также сканера для Lsass является кодер houseofdabus.

Cisco Global Exploiter

Описание:

Я думаю, ты уже наслышан о дырявости IOS, внедренной в роутеры Cisco. Недоработки в коде позволяли обходить авторизацию Web-сервера, DoS’ить интерфейсы маршрутизатора, убивать SSH и многое другое. И вот настал долгожданный момент, когда 9 самых весомых уязвимостей были вшиты в единый эксплойт. Теперь хакеру достаточно передать номер ошибки с помощью параметра, и сплойт сделает черное дело. Программа полностью написана на Perl, поэтому у хакера не возникнет проблем с компиляцией.

Защита:

Пожалуй, есть только один способ защититься от всех этих уязвимостей – проапдейтить IOS. Несмотря на то, что некоторым ошибкам уже более 2 лет, все они крайне распространены и часто встречаются. Поэтому цисководам рекомендую скачать эксплойт и проверить каждый таргет на своей IOS, пока за них это не сделал кто-нибудь другой :).

Ссылки:

Вот полный список уязвимостей, входящих в эксплойт: www.securitylab.ru/44184.html. Что касается самого Global Exploiter’а, его можно слить по ссылке www.securitylab.ru/_Exploits/2004/03/cisco.pl.txt.

Greets:

Дружно благодарим команду blackangels (www.blackangels.it) за глобализацию всех цисковых дыр :). Молодцы, ребята!