Vypnutí systému je způsobeno autoritním systémem nt. Dolů s uživatelskou úrovní: zvýšení oprávnění pro NT AUTHORITYSYSTEM v jakékoli verzi Windows

POZORNOST!!! POZORNOST!!! POZORNOST!!!
NEBEZPEČNÝ ČER!!!

Příznaky: Při práci na síti najednou vyskočí hláška informující, že je nutné ukončit všechny programy, které šetří data, protože... po 60 sec. dojde k restartu.

Diagnóza: Síťový červ w32.Blaster.worm. Červ využívá zranitelnost zjištěnou 16. července ve službě RPC DCOM, která je přítomna ve všech operační systémy Rodiny Windows 2000, Windows XP a Windows 2003. Tato chyba zabezpečení je přetečením vyrovnávací paměti, které je způsobeno správně vytvořeným paketem TCP/IP přicházejícím na port 135, 139 nebo 445 napadeného počítače. Umožňuje minimálně provést útok DoS (DoS znamená „Denial of Service“ nebo „Denial of service“; v tomto případě je napadený počítač restartován) a maximálně spustit jakýkoli kód. v paměti napadeného počítače. Když se nový červ rozšíří, zaútočí na port 135 a v případě úspěchu spustí program TFTP.exe, pomocí kterého stáhne svůj spustitelný soubor do napadeného počítače. V tomto případě se uživateli zobrazí zpráva o zastavení služby RPC a následném restartování. Po restartu se červ automaticky spustí a začne skenovat sítě přístupné z počítače pro počítače s otevřeným portem 135. Pokud jsou nějaké detekovány, červ zaútočí a vše se opakuje znovu. Navíc, soudě podle aktuální míry šíření, červ brzy zaujme první místo v seznamech antivirových společností.

Lék: Existují tři způsoby, jak se chránit před červem. Za prvé, bulletin společnosti Microsoft obsahuje odkazy na opravy pro všechny zranitelné verze systému Windows, které odstraňují chybu RPC (tyto opravy byly vydány 16. července, takže ti, kteří pravidelně aktualizují svůj systém, by si neměli dělat starosti). Za druhé, pokud je port 135 uzavřen firewallem, červ nebude schopen proniknout do počítače. Za třetí, zakázání DCOM pomáhá jako poslední možnost (tento postup je podrobně popsán v bulletinu společnosti Microsoft). Pokud jste tedy ještě nebyli napadeni červem, důrazně doporučujeme co nejdříve stáhnout patch pro váš OS ze serveru Microsoft (například využít služby Windows Update), případně nakonfigurovat blokování portů 135, 139 a 445 ve firewallu. Pokud je váš počítač již infikován (a zobrazení chybové zprávy RPC jasně znamená, že je infikován), musíte vypnout DCOM (jinak každý další útok způsobí restart), poté stáhnout a nainstalovat opravu. Chcete-li červa zničit, musíte z klíče registru HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run odstranit položku "windows auto update"="msblast.exe" a poté najít a smazat soubor msblast.exe - toto je tělo červa. Další informace o postupu odstranění červa si můžete přečíst na webu společnosti Symantec.

V tuto chvíli ne všechny antiviry červa detekují, v ochranu před nimi lze doufat pouze po vydání aktualizací.

Pokud jste takovou zprávu ještě neobdrželi, stáhněte si záplaty od strýčka Billa:

Zde jsou odkazy na medicínu pro NT 4.0 a 2000, 2003 Server

Doslova několik dní předtím, než se vydání dostalo do tisku, získal Metasploit
nový modul, o kterém jsme vám prostě nemohli nepovědět. Díky
nový příkaz getsystem, na kompromitovaném systému je nyní možné přejít
z uživatelské úrovně na ring0, získání práv NT AUTHORITY\SYSTEM! A to - v žádném
verze systému Windows.

Dne 19. ledna 2010 se 0denní zranitelnost stala veřejnou, což umožňuje
zvýšení privilegií kdykoli Verze Windows, počínaje NT 3.1, vydané v
v roce 1993 a končící novotvarem „sedm“. Na exploit-db.com od hackera Tavise
Ormandy zveřejnila jak zdroje exploitu KiTrap0d, tak zkompilovanou verzi
binární, připravené k použití. Každý si může vyzkoušet původní exploit
ochotný. Chcete-li to provést, stačí extrahovat vdmexploit.dll a vdmallowed.exe z archivu,
nějak jej přeneste do počítače oběti a spusťte tam soubor exe. V
výsledek, bez ohledu na to, který uživatelský účet je
spuštění se objeví konzole s oprávněními uživatele systému, tedy NT
ÚŘAD\SYSTÉM. Chcete-li to zkontrolovat, můžete na svém počítači spustit Sploit,
dříve přihlášený do systému jako běžný uživatel. Po spuštění
Sploit otevře nové okno cmd.exe s maximálními oprávněními.

Co to dává? Představte si situaci, kdy exploit prorazí nějakou aplikaci a
dostane skořápku vzdálený počítač. Nechť je to shromažďovací místo pro internet
Průzkumník - v tomto případě bude mít útočník přístup do systému s právy
uživatel, pod jehož účtem byl prohlížeč spuštěn. Nehádám se, moc
často to bude účet s právy správce (chyba je na uživateli), ale
Pokud ne? Zde můžete použít KiTrap0d ke zvýšení svých oprávnění
na NT AUTHORITY\SYSTEM! Navíc i ti uživatelé, kteří jsou členy skupiny
správce, nemůže přistupovat k určitým oblastem systému, např.
čtení hash uživatelských hesel (více o tom níže). A systémový účet NT -
Možná! S tím vším v době zveřejnění článku neexistoval jediný patch
Společnost Microsoft nevydala opravu této chyby zabezpečení.

Převzetí operačního systému

Původní exploit nebudeme demonstrovat v akci, protože 25
Leden byl do Metasploitu přidán nový skript, díky kterému můžete používat
KiTrap0d se stal ještě pohodlnějším. Možnost původně zahrnutá v databázích modulu byla
nestabilní a ne vždy fungoval, ale neuplynulo ani půl dne, než se objevily všechny chyby
vyloučeno. Nyní je modul stažen spolu se všemi ostatními aktualizacemi,
takže pro instalaci stačí vybrat položku nabídky "Metasploit update".
Nyní, když máte přístup ke vzdálenému systému, můžete napsat "run kitrap0d" a přinést
se shromáždí do akce. "Ale protože je tu taková pitka, pojďme tuto záležitost realizovat
speciální tým,“ mysleli si vývojáři Metasploitu
Toto je skvělý příkaz "elevate privilegia", přístupný přes
nástavec meterpreter - moc se nám líbí :).

Máme tedy přístup ke vzdálenému systému (ilustrativní příklad
operace je uvedena v článku "Operace Aurora") a jsme v konzoli
metasploit. Podívejme se, jak jsme na tom s právy:

meterpreter > getuid

To jo, běžný uživatel. Možná je dokonce součástí skupiny
správci, ale to je nám jedno. Připojíme modul, ve kterém je implementován
příkaz getsystem, který nás zajímá, a zkontrolujte, zda se načetl zobrazením
obrazovka nápovědy:

meterpreter > použít priv
Načítání priv...úspěchu.
meterpreter > getsystem -h
Použití: getsystem
Pokuste se povýšit své oprávnění na oprávnění místního systému.
MOŽNOSTI:

H Nápověda Banner.
-t Technika k použití. (Výchozí hodnota je "0").
0: Všechny dostupné techniky
1: Služba – zosobnění pojmenovaného kanálu (v paměti/správce)
2: Služba – zosobnění pojmenovaného kanálu (kapkat/správce)
3: Služba – Duplikace tokenu (v paměti/správce)
4: Exploit – KiTrap0D (v paměti/uživatel)

Jak vidíte, sloučení KiTrap0D implementuje pouze část funkčnosti příkazu.
Pokud se vám podařilo získat shell s uživatelem, který již má práva
správce, pak pro zvýšení na úroveň NT AUTHORITY\SYSTEM, kterou můžete použít
tři další techniky (klávesa -t vám umožňuje vybrat tu, kterou potřebujete). Každopádně bez upřesnění
vůbec žádné parametry, řekneme metasploitu, co může použít
některý z přístupů. Včetně KiTrap0D, který zvýší naše privilegia na úroveň
„Systém“, bez ohledu na to, jaká práva aktuálně máme.

meterpreter > getsystem
...dostal systém (přes techniku ​​4).

Jo, dostali jsme zprávu o úspěšném zvýšení oprávnění a o útoku
Byl to použit KiTrap0D - zřejmě má přednost. Jsme opravdu?
vzrostl v systému? Pojďme zkontrolovat naše aktuální UID (identifikátor uživatele):

meterpreter > getuid

Jíst! Pouze jeden příkaz v konzole metasploit a práva NT AUTHORITY\SYSTEM
nás do kapsy. Dále, obecně řečeno, vše je možné. Dovolte mi, abych vám připomněl, ani jeden
V době vydání časopisu neexistovala žádná oprava od společnosti Microsoft.

Vyhazování hesel

Protože již máte přístup k systémovému účtu, musíte z něj extrahovat
něco užitečného. Metasploit má skvělý příkaz hashdump -
pokročilejší verze známého nástroje pwdump. Navíc v posledním
verze metasploit obsahuje revidovanou verzi skriptu, který používá
modernizovaný princip pro extrakci hash LANMAN/NTLM a dosud nebyl zjištěn
antiviry. Ale o to nejde. Je důležité provést příkaz hashdump
Jsou vyžadována práva NT AUTHORITY\SYSTEM. Jinak program vyvolá chybu
"[-] priv_passwd_get_sam_hashes: Operace se nezdařila: 87". To se děje, protože
že hashe uživatelských hesel LANMAN/NTLM jsou uloženy ve speciálních větvích registru
HKEY_LOCAL_MACHINE\SAM a HKEY_LOCAL_MACHINE\SECURITY, které nejsou přístupné ani
správci. Lze je číst pouze s oprávněními systémového účtu.
Obecně řečeno, použijte exploit a poté příkaz hashdump
lokálně extrahovat hash z registru není vůbec nutné. Ale když takový
Příležitost tu je, proč ne?

meterpreter > getuid
Uživatelské jméno serveru: NT AUTHORITY\SYSTEM

meterpreter > spustit hashdump
[*] Získání spouštěcího klíče...
[*] Výpočet klíče hboot pomocí SYSKEY 3ed7[...]
[*] Získání seznamu uživatelů a klíčů...
[*] Dešifrování uživatelských klíčů...
[*] Vyhazování hodnot hash hesel...

Správce:500:aad3b435b51404eeaad3b435b51404ee:...
Host:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAsistant:1000:ce909bd50f46021bf4aa40680422f646:...

Hashe byly přijaty. Nezbývá, než je nakrmit například některému z brute forcerů,
l0phtcrack.

Jak mohu získat zpět svá privilegia?

Vtipná situace nastala, když jsem se snažil vrátit práva do normálu
uživatel zpět. Příkaz rev2self, který jsem našel, nefungoval a já stále
zůstal "NT AUTHORITY\SYSTEM": zjevně je navržen pro práci se třemi
další přístupy implementované v getsystem. Ukázalo se, že se vrací
oprávnění, je nutné „ukrást“ token procesu spuštěného tímto uživatelem,
které potřebujeme. Všechny procesy tedy zobrazíme příkazem ps a vybereme z nich
vhodný:

meterpreter > ps
Seznam procesů
============
PID Name Arch Uživatelská cesta
--- ---- ---- ---- ----
0
4 System x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\uživatel C:\WINDOWS\Explorer.EXE
...

Jak vidíme, explorer.exe se spouští právě pod běžným uživatelem
účtu a má PID=1560. Nyní ve skutečnosti můžete „ukrást token“ pomocí
příkaz steal_token. PID se mu předá jako jediný parametr
požadovaný proces:

meterpreter > steal_token 1558
Odcizený token s uživatelským jménem: WINXPSP3\user
meterpreter > getuid
Uživatelské jméno serveru: WINXPSP3\uživatel

Podle pole "Uživatelské jméno serveru" byla operace úspěšná.

Jak to funguje?

Nakonec stojí za to mluvit o povaze zranitelnosti, která vedla ke vzniku
Sploit. K porušení zabezpečení dochází v důsledku chyby v procesoru systému
#GP přerušení (které se nazývá nt!KiTrap). Kvůli tomu s právy jádra
může být uděláno libovolný kód. To se děje, protože systém
nesprávně kontroluje některá volání systému BIOS na 32bitové platformě x86
běží 16bitová aplikace. Chcete-li zneužít zranitelnost, exploit vytvoří
16bitová aplikace (%windir%\twunk_16.exe), manipuluje s některými
systémové struktury a zavolá funkci NtVdmControl() ke spuštění
Windows Virtual DOS Machine (aka NTVDM subsystém), který v důsledku předchozí
manipulace vede k volání obsluhy přerušení systému #GP a
při spuštění exploitu. To mimochodem vede k jedinému omezení
exploit, který funguje pouze na 32bitových systémech. V 64-bit
Operační systémy prostě nemají emulátor pro běh 16bitových aplikací.

Proč se informace s hotovým exploitem staly veřejně dostupnými? O dostupnosti
Autor exploitu informoval Microsoft o zranitelnosti na začátku loňského roku a
dokonce obdržel potvrzení, že jeho zpráva byla přijata k posouzení. Pouze vozík
a teď tam. Rok neexistoval žádný oficiální patch od společnosti a autor se rozhodl
zveřejňovat informace v naději, že se věci pohnou rychleji. Uvidíme,
bude patch dostupný, než bude časopis v prodeji :)?

Jak se chránit před zneužitím

Vzhledem k tomu, že zatím neexistuje úplná aktualizace, která by tuto chybu zabezpečení vyřešila,
budete muset použít náhradní řešení. Nejspolehlivější možností je
deaktivovat subsystémy MSDOS a WOWEXEC, což okamžitě připraví exploit
funkčnost, protože již nebude možné volat funkci NtVdmControl().
ke spuštění systému NTVDM. Ve starších verzích Windows se to provádí přes
registr, ve kterém musíte najít větev HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
a přidat k jeho názvu nějaký symbol. Pro moderní OS
musíte nastavit omezení pro spouštění 16bitových aplikací přes
skupinové zásady. Chcete-li to provést, zavolejte GPEDIT.MSC a přejděte do sekce
"Konfigurace uživatele/Šablony pro správu/Součásti systému Windows/Kompatibilita
aplikací“ a aktivujte možnost „Zakázat přístup k 16-bit
aplikace“.

WWW

Popis chyby zabezpečení od autora exploitu:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Řešení od společnosti Microsoft:

http://support.microsoft.com/kb/979682

VAROVÁNÍ

Informace jsou prezentovány pro vzdělávací účely. Použití v
pro nezákonné účely může vést k trestní odpovědnosti.

Nedávno, přesněji před týdnem, jsem popadl červa, a to se mi za celou dobu přípravy čaje ještě nestalo! Je noc - nemůžete zavolat technika a peníze jsou pouze na kartě - 200 rublů v kapse. Co dělat, zoufale potřebuji počítač!

Přes telefon jdu do vyhledávačů a zadám jméno napsané v názvu tématu - moje matka, co zjistím - tento tvor žije na internetu od roku 1993 a Microsoft Corporation o tom ví, informoval je tvůrce konkrétně. Dnes, když se tento červ dostane do vašeho počítače, získává administrátorská práva a je schopen provádět jakékoli triky.

Po prozkoumání několika desítek fór, přečtení stovek tipů za den, aniž bych věděl, jak usnout, vlezu do hlubin svého systému a s třesoucíma se rukama začnu otevírat složky a soubory, o kterých jsem četl. houževnatost hladového vlka, hledám příčinu, ale... jsem na to příliš nezkušený. Opět přes telefon jdu na naše stránky a píšu jednomu z našich moderátorů... Problém je velmi ošemetný a aby mě netýral, tak mi ten člověk radí ten systém zbourat a nainstalovat nový, ale sám jsem to nikdy nedělal! Po telefonu mi říká (nešetří náklady na meziměstské hovory), jak to udělat krok za krokem, a já si sednu a zapíšu si to. Poté čeká na výsledek a já sedím a chápu, že mě velmi mrzí nahromaděné informace... a rozhoduji se, když to zbourám, budu mít vždy čas, ale teď budu bojovat na svém vlastní.

V každém případě jsem věděl, že naši guruové jsou vedle mě a poradí, co a jak dělat. Mezitím na vlastní nebezpečí a riziko dělám následující:

1) Banner po 60 sekundách vypne počítač, aby se restartoval - to znamená, že je třeba tuto dobu prodloužit a na radu jednoho člena fóra jsem Podařilo se mi nastavit hodiny o rok zpět!

2) Už si v klidu a pomalu prohlížím celý registr a programy přes AnvirTaskManager - byl jediný, kdo se ptal na vzhled nový program, ale jako blázen jsem to nechal projít.

3) když tam ničemu nerozumím, spouštím úplné skenování AVAST, který předtím nainstaloval všechna rozšíření v nastavení.

po 3,5 hodinách mi dal 6 infikovaných souborů - tady jsou

win32 malware-gen (2 kusy)

Fakeinst-T (2ks)

Jednoduše tyto škůdce odstraním, aniž bych se je snažil ošetřit.

4) Pak jdu do Revo Unystailer a smažu vše, co jsem nainstaloval za posledních několik dní, spolu s AnvirTaskManager a Reg Organizier.

5) Načtu AVZ a spustím.

A tady nastává problém - disk mám rozdělený na dvě C a N. C se normálně skenuje a nic nenajde, jakmile začne skenovat N celý počítač jde do stuporu. Restartuji - banner už nevyskakuje a uklidňuji se, internet funguje, ale mozilla se neotevře, procházím Google Chrome.

Kontroluji N v on-line režimu. Čistě! Otevřu N, zkusím vybrat složku - počítač opět zamrzne! Po několika pokusech o otevření jej znovu naskenuji AVASTem a nic nenajdu, rozhodnu se vše zkopírovat do C.

Po zkopírování do C vymažu všechna N a jdu do kopie - vše funguje!!!

Před hodinou jsem si stáhl a aktualizoval Mozillu a teď si užívám života. Všechno jsem zkontroloval a teď aktualizuji Dr. W curellt a nasadím si to přes noc - jen abych uklidnil své svědomí! Takže mějte na paměti, milí kolegové, ne všechno je tak děsivé. Pro bezpečnost vašich počítačů postupujte podle pokynů v přiloženém souboru!!!

Ať jsou naše PC zdravé!!!

S úctou ke všem čtenářům Alexey!

V rámci jednoho z projektů jsem musel nakonfigurovat aplikaci, která měla fungovat záloha databáze na vzdáleném serveru MS SQL do úložiště souborů na jiném serveru. Mít přístup vzdálené úložiště je použit účet, pod kterým běží MS SQL. V našem případě byl MS SQL spuštěn pod lokálním účtem Síťová služba(NT AUTHORITY\NetworkService). Tento místní účet přirozeně nemá žádné oprávnění ke vzdálené sdílené složce. Bylo samozřejmě možné přepnout MS SQL tak, aby fungovalo pod doménovým účtem (nebo), ale můžete nakonfigurovat vzdálený přístup do sdílené složky a pod NT AUTHORITY\NetworkService.

Jak povolit přístup k jiným počítačům pod účtem NetworkService

Pokud potřebujete poskytnout přístup k více počítačům, nejjednodušší je sloučit je do jedné skupiny a poskytnout přístup do skupiny. Vytvořte novou skupinu v AD a přidejte do ní všechny účty počítačů, které by měly přistupovat k síťovému prostředku s právy síťové služby. Ve vlastnostech složky udělte skupině požadovaná oprávnění.

A co ostatní místní účty?

Při poskytování přístupu ke zdroji prostřednictvím účet počítač, je přístup udělen všem ostatním místním účtům? Ne – přístup bude k dispozici pouze pro účty Systém A Síťová služba. Jakýmkoli místním účtům, kterým je třeba povolit přístup k síťovému prostředku, bude muset být udělen přístup jednotlivě.