El cierre del sistema es causado por el sistema de autoridad nt. Abajo el nivel de usuario: aumentar privilegios a NT AUTHORITYSYSTEM en cualquier versión de Windows

¡¡¡ATENCIÓN!!! ¡¡¡ATENCIÓN!!! ¡¡¡ATENCIÓN!!!
¡¡¡GUSANO PELIGROSO!!!

Síntomas: Mientras trabaja en la red, de repente aparece un mensaje informándole que es necesario cerrar todos los programas que guardan datos porque... después de 60 seg. se producirá un reinicio.

Diagnóstico: Gusano de red w32.Blaster.worm. El gusano aprovecha una vulnerabilidad detectada el 16 de julio en el servicio RPC DCOM, presente en todos sistemas operativos familias de windows 2000, Windows XP y Windows 2003. Esta vulnerabilidad es un desbordamiento del búfer, causado por un paquete TCP/IP correctamente diseñado que llega al puerto 135, 139 o 445 de la computadora atacada. Permite, como mínimo, realizar un ataque DoS (DoS significa “Denial of Service”, o “denegación de servicio”; en este caso, se reinicia el ordenador atacado), y, como máximo, ejecutar cualquier código. en la memoria del ordenador atacado. Cuando el nuevo gusano se propaga, ataca el puerto 135 y, si tiene éxito, inicia el programa TFTP.exe, mediante el cual descarga su archivo ejecutable en el ordenador atacado. En este caso, el usuario recibe un mensaje sobre cómo detener el servicio RPC y luego reiniciar. Después de reiniciar, el gusano se inicia automáticamente y comienza a escanear las redes accesibles desde la computadora en busca de computadoras con el puerto 135 abierto. Si detecta alguno, el gusano lanza un ataque y todo se repite de nuevo. Además, a juzgar por el ritmo de propagación actual, el gusano pronto ocupará el primer lugar en las listas de las empresas antivirus.

Medicamento: Hay tres formas de protegerse del gusano. En primer lugar, el boletín de Microsoft contiene enlaces a parches para todas las versiones vulnerables de Windows que cierran la falla RPC (estos parches se lanzaron el 16 de julio, por lo que quienes actualizan periódicamente su sistema no deberían preocuparse). En segundo lugar, si el puerto 135 está cerrado por un firewall, el gusano no podrá penetrar en el ordenador. En tercer lugar, deshabilitar DCOM ayuda como último recurso (este procedimiento se describe en detalle en el boletín de Microsoft). Por lo tanto, si aún no ha sido atacado por un gusano, se recomienda encarecidamente descargar un parche para su sistema operativo desde un servidor de Microsoft lo antes posible (por ejemplo, utilice los servicios de Windows Update) o configurar el bloqueo de los puertos 135, 139. y 445 en el firewall. Si su computadora ya está infectada (y la aparición de un mensaje de error de RPC significa claramente que está infectada), entonces debe desactivar DCOM (de lo contrario, cada ataque posterior provocará un reinicio) y luego descargar e instalar el parche. Para destruir el gusano, debe eliminar la entrada "actualización automática de Windows"="msblast.exe" de la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, luego busque y borre el archivo msblast.exe; este es el cuerpo del gusano. Puede leer más sobre el procedimiento de eliminación del gusano en el sitio web de Symantec.

Por el momento, no todos los antivirus detectan el gusano; sólo se puede esperar protección contra ellos después de que se publiquen las actualizaciones.

Si aún no ha recibido dicho mensaje, descargue los parches del tío Bill:

Aquí hay enlaces a medicina para NT 4.0 y 2000, 2003 Server.

Literalmente, unos días antes de que el número saliera a imprenta, Metasploit adquirió
un nuevo módulo del que simplemente no pudimos evitar hablarle. Gracias a
nuevo comando getsystem, en un sistema comprometido ahora es posible ir
desde el nivel de usuario hasta ring0, obteniendo derechos NT AUTHORITY\SYSTEM. Y esto - en cualquier
versiones de Windows.

El 19 de enero de 2010, se hizo pública una vulnerabilidad de día 0, lo que permitía
elevación de privilegios en cualquier momento Versiones de Windows, a partir de NT 3.1, lanzado en
en 1993, y terminando con el novedoso "siete". En exploit-db.com por el hacker Tavis
Ormandy publicó tanto las fuentes del exploit KiTrap0d como la versión compilada
binario, listo para usar. Cualquiera puede probar el exploit original.
deseoso. Para hacer esto, solo necesita extraer vdmexploit.dll y vdmallowed.exe del archivo,
transfiéralo de alguna manera a la máquina víctima y ejecute el archivo exe allí. EN
resultado, independientemente de qué cuenta de usuario
Al iniciar, aparecerá una consola con privilegios de usuario del sistema, es decir, NT.
AUTORIDAD\SISTEMA. Para comprobarlo, puede ejecutar Sploit en su máquina,
haber iniciado sesión previamente en el sistema como usuario habitual. Después del lanzamiento
Sploit abrirá una nueva ventana de cmd.exe con privilegios máximos.

¿Qué aporta esto? Imagine una situación en la que un exploit atraviesa alguna aplicación y
se pone un caparazón computadora remota. Que esto sea un punto de encuentro para Internet.
Explorador: en este caso, el atacante tendrá acceso al sistema con los derechos
el usuario bajo cuya cuenta se inició el navegador. No discuto, muy
a menudo será una cuenta con derechos de administrador (el usuario tiene la culpa), pero
¿si no? Aquí es donde puedes usar KiTrap0d para aumentar tus privilegios
a AUTORIDAD\SISTEMA NT! Además, incluso aquellos usuarios que son miembros del grupo
administrador, no puede acceder a ciertas áreas del sistema, por ejemplo,
leer hash de contraseña de usuario (más sobre esto a continuación). Y la cuenta del sistema NT...
¡Tal vez! Con todo esto, en el momento de la publicación del artículo no había ni un solo parche de
Microsoft no ha publicado una solución para la vulnerabilidad.

Adquisición del sistema operativo

No demostraremos el exploit original en acción porque 25
En enero se agregó un nuevo script a Metasploit, gracias al cual puedes usar
KiTrap0d se ha vuelto aún más conveniente. La opción inicialmente incluida en las bases de datos del módulo era
inestable y no siempre funcionó, pero no pasó ni medio día antes de que aparecieran todos los errores
eliminado. Ahora el módulo se descarga junto con todas las demás actualizaciones,
así que para instalarlo, simplemente seleccione el elemento del menú "Actualización de Metasploit".
Ahora, teniendo acceso al sistema remoto, puede escribir "ejecutar kitrap0d" y traer
se unirá a la acción. "Pero dado que hay tanta juerga de bebida, implementemos este asunto".
un equipo especial", pensaron los desarrolladores de Metasploit. Como resultado
Este es un maravilloso comando para "elevar privilegios", accesible a través de
extensión meterpreter: nos gusta mucho :).

Entonces, tenemos acceso al sistema remoto (ejemplo ilustrativo
La operación se da en el artículo "Operación Aurora") y estamos en la consola.
metasploit. Veamos cómo nos va con los derechos:

meterpreter > getuid

Sí, usuario regular. Tal vez incluso sea parte del grupo.
administradores, pero eso no nos importa. Conectamos el módulo en el que está implementado.
el comando getsystem que nos interesa y verifique si se ha cargado mostrando
pantalla de ayuda:

meterpreter> usar priv
Cargando extensión privada...éxito.
meterpreter > getsystem -h
Uso: getsystem
Intente elevar su privilegio al del sistema local.
OPCIONES:

H Banner de ayuda.
-t La técnica a utilizar. (El valor predeterminado es "0").
0: Todas las técnicas disponibles
1: Servicio: suplantación de canalización con nombre (en memoria/administrador)
2: Servicio - Suplantación de canalización con nombre (Gotero/Administrador)
3: Servicio - Duplicación de tokens (en memoria/administrador)
4: Explotación - KiTrap0D (en memoria/usuario)

Como puede ver, la combinación KiTrap0D implementa solo una parte de la funcionalidad del comando.
Si lograste tomar un shell con un usuario que ya tiene derechos
administrador, luego para elevar al nivel NT AUTHORITY\SYSTEM puede usar
Otras tres técnicas (la tecla -t le permite seleccionar la que necesita). De todos modos, sin especificar
sin ningún parámetro, le diremos al metasploit qué puede usar
cualquiera de los enfoques. Incluyendo KiTrap0D, que aumentará nuestros privilegios al nivel
"El sistema", sin importar los derechos que tengamos actualmente.

meterpreter > getsystem
...sistema conseguido (a través de la técnica 4).

Sí, recibimos un mensaje sobre una elevación de privilegios exitosa y sobre un ataque.
Se utilizó KiTrap0D; aparentemente tiene prioridad. ¿Estamos realmente
subió en el sistema? Comprobemos nuestro UID (identificador de usuario) actual:

meterpreter > getuid

¡Comer! Solo un comando en la consola de metasploit y derechos NT AUTHORITY\SYSTEM
Nosotros en tu bolsillo. Además, en términos generales, todo es posible. Déjame recordarte que ni uno solo
No había ningún parche de Microsoft en el momento en que se publicó la revista.

Volcar contraseñas

Como ya tiene acceso a la cuenta del sistema, debe extraer de esta
algo útil. Metasploit tiene un maravilloso comando hashdump:
una versión más avanzada de la conocida utilidad pwdump. Es más, en los últimos
La versión de metasploit incluye una versión revisada del script que utiliza
un principio modernizado para extraer hashes LANMAN/NTLM y aún no se ha detectado
antivirus. Pero ese no es el punto. Es importante que para ejecutar el comando hashdump
Se requieren derechos NT AUTHORITY\SYSTEM. De lo contrario, el programa arrojará un error.
"[-] priv_passwd_get_sam_hashes: Operación fallida: 87". Esto sucede porque
que los hashes LANMAN/NTLM de las contraseñas de los usuarios se almacenan en ramas de registro especiales
HKEY_LOCAL_MACHINE\SAM y HKEY_LOCAL_MACHINE\SECURITY, a los que no se puede acceder ni siquiera
administradores. Sólo se pueden leer con privilegios de cuenta del sistema.
En términos generales, use exploit y luego el comando hashdump para
No es necesario extraer localmente el hash del registro. Pero si tal
La oportunidad está ahí, ¿por qué no?

meterpreter > getuid
Nombre de usuario del servidor: NT AUTHORITY\SYSTEM

meterpreter > ejecutar hashdump
[*] Obteniendo la clave de arranque...
[*] Calculando la clave hboot usando SYSKEY 3ed7[...]
[*] Obteniendo la lista de usuarios y claves...
[*] Descifrando claves de usuario...
[*] Volviendo hashes de contraseña...

Administrador:500:aad3b435b51404eeaad3b435b51404ee:...
Invitado:501:aad3b435b51404eeaad3b435b51404ee:...
Asistente de ayuda:1000:ce909bd50f46021bf4aa40680422f646:...

Se han recibido los hashes. Todo lo que queda es dárselos a uno de los fuerzas brutas, por ejemplo,
l0phtcrack.

¿Cómo puedo recuperar mis privilegios?

Ocurrió una situación divertida cuando intenté devolver los derechos a la normalidad.
usuario de vuelta. El comando rev2self que encontré no funcionó y todavía
permaneció "NT AUTHORITY\SYSTEM": aparentemente, está diseñado para funcionar con tres
Otros enfoques implementados en getsystem. resultó volver
privilegios, es necesario “robar” el token del proceso iniciado por ese usuario,
que necesitamos. Por lo tanto, mostramos todos los procesos con el comando ps y seleccionamos entre ellos.
adecuado:

meterpreter > ps
Lista de procesos
============
Nombre PID Ruta de usuario Arch
--- ---- ---- ---- ----
0
4 Sistema x86 NT AUTORIDAD\SISTEMA
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\usuario C:\WINDOWS\Explorer.EXE
...

Como podemos ver, explorer.exe se inicia justo debajo del usuario normal.
cuenta y tiene PID=1560. Ahora, de hecho, puedes “robar una ficha” usando
comando robar_token. El PID se le pasa como único parámetro.
proceso requerido:

meterpreter > robar_token 1558
Token robado con nombre de usuario: WINXPSP3\usuario
meterpreter > getuid
Nombre de usuario del servidor: WINXPSP3\usuario

A juzgar por el campo "Nombre de usuario del servidor", la operación fue exitosa.

¿Cómo funciona?

Finalmente, vale la pena hablar de la naturaleza de la vulnerabilidad que llevó al surgimiento
Dividir. La brecha de seguridad se produce por un error en el procesador del sistema
#GP interrumpe (que se llama nt!KiTrap). Por eso con privilegios del kernel.
puede hacerse código arbitrario. Esto sucede porque el sistema
comprueba incorrectamente algunas llamadas de BIOS en una plataforma x86 de 32 bits
Se está ejecutando una aplicación de 16 bits. Para explotar la vulnerabilidad, el exploit crea
Aplicación de 16 bits (%windir%\twunk_16.exe), manipula algunos
estructuras del sistema y llama a la función NtVdmControl() para iniciar
Windows Virtual DOS Machine (también conocido como subsistema NTVDM), que como resultado de anteriores
La manipulación conduce a llamar al controlador de interrupciones del sistema #GP y
cuando se activa el exploit. Por cierto, esto lleva a la única limitación.
exploit que sólo funciona en sistemas de 32 bits. En 64 bits
Los sistemas operativos simplemente no tienen un emulador para ejecutar aplicaciones de 16 bits.

¿Por qué se hizo pública la información con un exploit ya preparado? Acerca de la disponibilidad
El autor del exploit informó a Microsoft de la vulnerabilidad a principios del año pasado y
Incluso recibió confirmación de que su informe había sido aceptado para su consideración. Solo carro
y ahora ahí. Durante un año no hubo parche oficial de la empresa y el autor decidió
publicar información públicamente, con la esperanza de que las cosas avancen más rápido. Vamos a ver,
¿Estará disponible el parche cuando la revista salga a la venta :)?

Cómo protegerse de las hazañas

Dado que aún no existe una actualización completa para resolver la vulnerabilidad,
Tendrás que utilizar soluciones alternativas. La opción más confiable es
deshabilite los subsistemas MSDOS y WOWEXEC, lo que privará inmediatamente al exploit
funcionalidad, porque ya no podrá llamar a la función NtVdmControl()
para iniciar el sistema NTVDM. En versiones anteriores de Windows esto se hace mediante
el registro en el que necesita encontrar la rama HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
y agregue algún símbolo a su nombre. Para sistemas operativos modernos
debe establecer una restricción en la ejecución de aplicaciones de 16 bits a través de
políticas de grupo. Para hacer esto, llame a GPEDIT.MSC, luego vaya a la sección
"Configuración de usuario/Plantillas administrativas/Componentes de Windows/Compatibilidad
aplicaciones" y active la opción "Prohibir el acceso a archivos de 16 bits
aplicaciones".

WWW

Descripción de la vulnerabilidad del autor del exploit:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Solución alternativa de Microsoft:

http://support.microsoft.com/kb/979682

ADVERTENCIA

La información se presenta con fines educativos. Utilizándolo en
con fines ilegales puede dar lugar a responsabilidad penal.

Recientemente, más precisamente hace una semana, agarré un gusano, ¡y esto nunca me había sucedido en toda mi preparación de té! Es de noche, no se puede llamar a un técnico y el dinero solo está en la tarjeta: 200 rublos en el bolsillo. ¡Qué hacer, necesito desesperadamente una computadora!

A través del teléfono entro en los motores de búsqueda y escribo el nombre escrito en el título del tema - mi madre, ¿qué descubro? Esta criatura ha estado viviendo en Internet desde 1993, y Microsoft Corporation lo sabe, les informó el creador. específicamente. Hoy en día, cuando este gusano ingresa a su computadora, adquiere derechos de administrador y es capaz de realizar cualquier truco.

Después de haber explorado varias docenas de foros, haber leído cientos de consejos en un día, sin saber dormir, me subo a las profundidades de mi sistema y, con manos temblorosas, empiezo a abrir las carpetas y archivos sobre los que he leído. tenacidad de un lobo hambriento, estoy buscando la razón, pero... soy demasiado inexperto para esto. Nuevamente, a través del teléfono, entro en nuestro sitio web y le escribo a uno de nuestros moderadores... El problema es muy complicado y para no atormentarme, la persona me aconseja desmontar el sistema e instalar uno nuevo, ¡pero yo nunca lo he hecho! Me dice por teléfono (sin escatimar gastos en llamadas de larga distancia) cómo hacerlo paso a paso, y yo me siento y lo apunto. Después de eso, espera el resultado, y me siento y entiendo que lo siento mucho por la información acumulada... y tomo una decisión, si la derribo, siempre tendré tiempo, pero ahora lucharé por mi cuenta. propio.

En cualquier caso, sabía que nuestros gurús estaban a mi lado y me aconsejarían qué hacer y cómo. Mientras tanto, bajo mi propia responsabilidad y riesgo, hago lo siguiente:

1) El banner apaga la computadora para reiniciarla después de 60 segundos; esto significa que es necesario aumentar este tiempo y, siguiendo el consejo de un miembro del foro, Logré retrasar el reloj un año!

2) Ya estoy mirando con calma y lentamente todo el registro y los programas a través de AnvirTaskManager; él fue el único que preguntó sobre la apariencia. nuevo programa, pero como un tonto lo dejé pasar.

3) al no entender nada ahí, lanzo análisis completo AVAST, habiendo instalado previamente todas las extensiones en la configuración.

después de 3,5 horas me dio 6 archivos infectados - aquí están

generación de malware win32 (2 piezas)

Fakeinst-T (2uds)

Simplemente elimino estas plagas sin siquiera intentar tratarlas.

4) Luego voy a Revo Unystailler y elimino todo lo que instalé en los últimos días, junto con AnvirTaskManager y Reg Organizier.

5) Cargo AVZ y lo ejecuto.

Y aquí surge un problema: mi disco está dividido en dos C y N. C se escanea normalmente y no encuentra nada, tan pronto como comienza a escanear N, toda la computadora entra en estupor. Reinicio: el banner ya no aparece y me calmo, Internet funciona, pero Mozilla no se abre, accedo a Google Chrome.

Verifico N en modo en línea. ¡Puramente! Abro N, intento seleccionar una carpeta; ¡nuevamente la computadora se congela! Después de varios intentos de abrirlo lo vuelvo a escanear con AVAST y al no encontrar nada decido copiarlo todo a C.

Después de copiar a C, borro todo N y entro en la copia: ¡¡¡todo funciona!!!

Hace una hora descargué y actualicé Mozilla y ahora estoy disfrutando de la vida. Revisé todo y ahora actualizaré al Dr. W. Curellt y lo pondré durante la noche, ¡solo para aliviar mi conciencia! Así que tengan en cuenta, queridos colegas, que no todo es tan aterrador. Por la seguridad de sus ordenadores, haga lo indicado en el archivo adjunto!!!

Que nuestras PC estén sanas!!!

Con respeto a todos los lectores Alexey!

Como parte de uno de los proyectos, tuve que configurar una aplicación que se suponía debía realizar respaldo bases de datos en un servidor MS SQL remoto a un almacenamiento de archivos en otro servidor. Acceder almacenamiento remoto Se utiliza la cuenta bajo la cual se ejecuta MS SQL. En nuestro caso, MS SQL se inició con una cuenta local. Servicio de red(Autoridad NT\Servicio de red). Naturalmente, esta cuenta local no tiene ninguna autoridad sobre el recurso compartido remoto. Por supuesto, era posible cambiar MS SQL para que funcione con una cuenta de dominio (o), pero puede configurar acceso remoto al recurso compartido y en NT AUTHORITY\NetworkService.

Cómo permitir el acceso a otras computadoras bajo la cuenta NetworkService

Si necesita proporcionar acceso a varias computadoras, la forma más sencilla es combinarlas en un grupo y proporcionar acceso al grupo. Cree un nuevo grupo en AD y agregue todas las cuentas de computadora que deberían acceder al recurso de red con derechos de servicio de red. En las propiedades de la carpeta, otorgue los permisos necesarios al grupo.

¿Qué pasa con otras cuentas locales?

Al proporcionar acceso a un recurso a través de cuenta computadora, ¿se otorga acceso a todas las demás cuentas locales? No, el acceso solo estará disponible para cuentas Sistema Y Servicio de red. A todas las cuentas locales a las que se les debe permitir acceso a un recurso de red se les deberá otorgar acceso individualmente.