L'arrêt du système est provoqué par le système d'autorité NT. A bas le niveau utilisateur : élever les privilèges vers NT AUTHORITYSYSTEM dans n'importe quelle version de Windows

ATTENTION!!! ATTENTION!!! ATTENTION!!!
VER DANGEREUX !!!

Symptômes: Lorsque vous travaillez sur le réseau, un message apparaît soudainement vous informant qu'il est nécessaire de terminer tous les programmes qui sauvegardent des données car... après 60 secondes. un redémarrage se produira.

Diagnostic: Ver de réseau w32.Blaster.worm Le ver exploite une vulnérabilité découverte le 16 juillet dans le service RPC DCOM, présente dans tous les systèmes. systèmes d'exploitation Familles de fenêtres 2000, Windows XP et Windows 2003. Cette vulnérabilité est un débordement de tampon provoqué par un paquet TCP/IP correctement conçu arrivant sur le port 135, 139 ou 445 de l'ordinateur attaqué. Il permet, au minimum, de réaliser une attaque DoS (DoS signifie « Denial of Service », ou « déni de service », dans ce cas, l'ordinateur attaqué est redémarré), et, au maximum, d'exécuter n'importe quel code. dans la mémoire de l'ordinateur attaqué. Lorsque le nouveau ver se propage, il attaque le port 135 et, en cas de succès, lance le programme TFTP.exe, à l'aide duquel il télécharge son fichier exécutable sur l'ordinateur attaqué. Dans ce cas, l'utilisateur reçoit un message concernant l'arrêt du service RPC, puis son redémarrage. Après un redémarrage, le ver démarre automatiquement et commence à analyser les réseaux accessibles depuis l'ordinateur à la recherche d'ordinateurs avec le port 135 ouvert. S’il en détecte, le ver lance une attaque et tout se répète. De plus, à en juger par le taux de propagation actuel, le ver occupera bientôt la première place dans les listes des éditeurs d'antivirus.

Médecine: Il existe trois façons de vous protéger du ver. Premièrement, le bulletin Microsoft contient des liens vers des correctifs pour toutes les versions vulnérables de Windows qui corrigent la faille RPC (ces correctifs ont été publiés le 16 juillet, donc ceux qui mettent régulièrement à jour leur système ne devraient pas s'inquiéter). Deuxièmement, si le port 135 est fermé par un pare-feu, le ver ne pourra pas pénétrer dans l'ordinateur. Troisièmement, la désactivation de DCOM est utile en dernier recours (cette procédure est décrite en détail dans le bulletin Microsoft). Ainsi, si vous n'avez pas encore été attaqué par un ver, il est fortement recommandé de télécharger au plus vite un patch pour votre OS depuis un serveur Microsoft (par exemple, utiliser les services Windows Update), ou de configurer le blocage des ports 135, 139. et 445 dans le pare-feu. Si votre ordinateur est déjà infecté (et que l'apparition d'un message d'erreur RPC signifie clairement qu'il est infecté), alors vous devez désactiver DCOM (sinon chaque attaque ultérieure provoquera un redémarrage), puis télécharger et installer le correctif. Pour détruire le ver, vous devez supprimer l'entrée "windows auto update"="msblast.exe" de la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, puis rechercher et effacer le fichier msblast.exe - c'est le corps du ver. Vous pouvez en savoir plus sur la procédure de suppression du ver sur le site Web de Symantec.

Pour le moment, tous les antivirus ne détectent pas le ver ; vous ne pouvez espérer une protection contre eux qu'après la publication des mises à jour.

Si vous n'avez pas encore reçu un tel message, téléchargez les correctifs depuis Oncle Bill :

Voici des liens vers des médicaments pour NT 4.0 et 2000, 2003 Server

Quelques jours seulement avant la mise sous presse du numéro, Metasploit a acquis
un nouveau module dont nous ne pouvions tout simplement pas nous empêcher de vous parler. Grâce à
nouvelle commande getsystem, sur un système compromis il est désormais possible d'aller
du niveau utilisateur à ring0, obtenant les droits NT AUTHORITY\SYSTEM ! Et ceci - dans n'importe quel
versions de Windows.

Le 19 janvier 2010, une vulnérabilité de type 0 jour est devenue publique, permettant
élévation des privilèges à tout moment Versions Windows, à partir de NT 3.1, publié en
en 1993, et se terminant par le nouveau « sept ». Sur exploit-db.com par le hacker Tavis
Ormandy a publié à la fois les sources de l'exploit KiTrap0d et la version compilée
binaire, prêt à l'emploi. Tout le monde peut essayer l'exploit original
disposé. Pour ce faire, il vous suffit d'extraire vdmexploit.dll et vdmallowed.exe de l'archive,
transférez-le d'une manière ou d'une autre sur la machine victime et lancez-y le fichier exe. DANS
résultat, quel que soit le compte utilisateur sur lequel
lancement, une console apparaîtra avec les privilèges de l'utilisateur système, c'est-à-dire NT
AUTORITÉ\SYSTÈME. Pour vérifier, vous pouvez exécuter Sploit sur votre machine,
s'être préalablement connecté au système en tant qu'utilisateur régulier. Après le lancement
Sploit ouvrira une nouvelle fenêtre cmd.exe avec des privilèges maximum.

Qu'est-ce que cela donne ? Imaginez une situation dans laquelle un exploit traverse une application et
met une coquille ordinateur distant. Que cela soit un point de ralliement pour Internet
Explorer - dans ce cas, l'attaquant aura accès au système avec les droits
l'utilisateur sous le compte duquel le navigateur a été lancé. Je ne discute pas, très
il s'agira souvent d'un compte avec des droits d'administrateur (l'utilisateur est en faute), mais
sinon? C'est ici que vous pouvez utiliser KiTrap0d pour augmenter vos privilèges
à AUTORITÉ NT\SYSTÈME ! De plus, même les utilisateurs membres du groupe
administrateur, ne peut pas accéder à certaines zones du système, par exemple,
lire les hachages de mot de passe utilisateur (plus d'informations ci-dessous). Et le compte système NT -
Peut être! Avec tout cela, au moment de la publication de l'article, il n'y avait pas un seul patch de
Microsoft n'a pas publié de correctif pour cette vulnérabilité.

Reprise du système d'exploitation

Nous ne démontrerons pas l’exploit original en action, car 25
Janvier un nouveau script a été ajouté à Metasploit, grâce auquel vous pouvez utiliser
KiTrap0d est devenu encore plus pratique. L'option initialement incluse dans les bases de données du module était
instable et ne fonctionnait pas toujours, mais il ne s'est même pas écoulé une demi-journée avant que toutes les erreurs n'apparaissent
éliminé. Le module est maintenant téléchargé avec toutes les autres mises à jour,
donc pour l'installer, sélectionnez simplement l'élément de menu "Mise à jour Metasploit".
Maintenant, ayant accès au système distant, vous pouvez taper "run kitrap0d" et apporter
se rallieront à l'action. "Mais puisqu'il y a une telle beuverie, mettons en œuvre cette affaire
une équipe spéciale », pensaient les développeurs de Metasploit.
Il s'agit d'une merveilleuse commande "élever les privilèges", accessible via
extension Meterpreter - nous l'aimons vraiment :).

Nous avons donc accès au système distant (exemple illustratif
l'opération est donnée dans l'article "Opération Aurora") et nous sommes dans la console
métasploit. Voyons comment nous nous en sortons avec les droits :

mètre-interprète > getuid

Ouais, utilisateur régulier. Peut-être qu'il fait même partie du groupe
administrateurs, mais cela ne nous importe pas. Nous connectons le module dans lequel il est implémenté
la commande getsystem qui nous intéresse, et vérifiez si elle a été chargée en affichant
écran d'aide :

Meterpreter > utiliser priv
Chargement de l'extension privée... succès.
mètrepreter > getsystem -h
Utilisation : getsystem
Essayez d'élever votre privilège à celui du système local.
OPTIONS :

H Bannière d'aide.
-t La technique à utiliser. (Par défaut "0").
0 : Toutes les techniques disponibles
1 : Service – Usuration d'identité de canal nommé (en mémoire/administrateur)
2 : Service – Usurpation d'identité de canal nommé (compte-gouttes/administrateur)
3 : Service - Duplication de jetons (en mémoire/administrateur)
4 : Exploiter - KiTrap0D (en mémoire/utilisateur)

Comme vous pouvez le constater, la fusion KiTrap0D n'implémente qu'une partie des fonctionnalités de la commande.
Si vous avez réussi à récupérer un shell avec un utilisateur qui a déjà des droits
administrateur, puis pour passer au niveau NT AUTHORITY\SYSTEM, vous pouvez utiliser
trois autres techniques (la touche -t permet de sélectionner celle dont vous avez besoin). Quoi qu'il en soit, sans préciser
aucun paramètre, nous dirons au métasploit ce qu'il peut utiliser
n’importe laquelle des approches. Y compris KiTrap0D, qui augmentera nos privilèges au niveau
"Le système", quels que soient les droits dont nous disposons actuellement.

mètrepreter > getsystem
...j'ai le système (via la technique 4).

Oui, nous avons reçu un message concernant une élévation réussie des privilèges et une attaque
C'est KiTrap0D qui a été utilisé - apparemment, il est prioritaire. Sommes-nous vraiment
augmenté dans le système ? Vérifions notre UID actuel (identifiant d'utilisateur) :

mètre-interprète > getuid

Manger! Une seule commande dans la console Metasploit et les droits NT AUTHORITY\SYSTEM
nous dans votre poche. De plus, d’une manière générale, tout est possible. Laisse-moi te rappeler, pas un seul
Il n'existait aucun correctif de Microsoft au moment de la publication du magazine.

Vider les mots de passe

Puisque vous avez déjà accès au compte système, vous devez en extraire
quelque chose d'utile. Metasploit a une merveilleuse commande hashdump -
une version plus avancée du célèbre utilitaire pwdump. De plus, dans le dernier
La version de Metasploit inclut une version révisée du script qui utilise
un principe modernisé pour extraire les hachages LANMAN/NTLM et n'est pas encore détecté
antivirus. Mais ce n'est pas le sujet. Il est important que pour exécuter la commande hashdump
Les droits NT AUTHORITY\SYSTEM sont requis. Sinon le programme générera une erreur
"[-] priv_passwd_get_sam_hashes : échec de l'opération : 87 ». Cela arrive parce que
que les hachages LANMAN/NTLM des mots de passe des utilisateurs sont stockés dans des branches de registre spéciales
HKEY_LOCAL_MACHINE\SAM et HKEY_LOCAL_MACHINE\SECURITY, qui ne sont pas accessibles même
administrateurs. Ils ne peuvent être lus qu'avec les privilèges du compte système.
De manière générale, utilisez exploit puis la commande hashdump pour
l'extraction locale du hachage du registre n'est pas du tout nécessaire. Mais si tel
L’opportunité est là, pourquoi pas ?

mètre-interprète > getuid
Nom d'utilisateur du serveur : AUTORITÉ NT\SYSTEM

Meterpreter > exécuter hashdump
[*] Obtention de la clé de démarrage...
[*] Calcul de la clé hboot à l'aide de SYSKEY 3ed7 [...]
[*] Obtention de la liste des utilisateurs et des clés...
[*] Décryptage des clés utilisateur...
[*] Vidage des hachages de mots de passe...

Administrateur :500:aad3b435b51404eeaad3b435b51404ee:...
Invité:501:aad3b435b51404eeaad3b435b51404ee:...
AssistantAssistant:1000:ce909bd50f46021bf4aa40680422f646:...

Les hachages ont été reçus. Il ne reste plus qu'à les donner à manger à l'un des brute forcers, par exemple,
l0phtcrack.

Comment puis-je récupérer mes privilèges ?

Une situation amusante s'est produite lorsque j'ai essayé de rétablir les droits à la normale
l'utilisateur revient. La commande rev2self que j'ai trouvée n'a pas fonctionné et je continue
est resté "NT AUTHORITY\SYSTEM" : apparemment, il est conçu pour fonctionner avec trois
d'autres approches implémentées dans getsystem. Il s'est avéré que c'était un retour
privilèges, il faut « voler » le token du processus lancé par cet utilisateur,
dont nous avons besoin. Par conséquent, nous affichons tous les processus avec la commande ps et sélectionnons parmi eux
approprié:

mètre-interprète > ps
Liste des processus
============
Nom PID Chemin utilisateur Arch
--- ---- ---- ---- ----
0
4 Système x86 NT AUTORITÉ\SYSTÈME
370 smss.exe x86 AUTORITÉ NT\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\utilisateur C:\WINDOWS\Explorer.EXE
...

Comme nous pouvons le voir, explorer.exe est lancé juste sous l'utilisateur normal
compte et a PID=1560. Désormais, en fait, vous pouvez « voler un jeton » en utilisant
commande Steal_token. Le PID lui est passé comme seul paramètre
processus requis :

Meterpreter > voler_token 1558
Jeton volé avec nom d'utilisateur : WINXPSP3\user
mètre-interprète > getuid
Nom d'utilisateur du serveur : WINXPSP3\user

À en juger par le champ "Nom d'utilisateur du serveur", l'opération a réussi.

Comment ça fonctionne?

Enfin, il convient de parler de la nature de la vulnérabilité qui a conduit à l'émergence
Sploit. La faille de sécurité se produit en raison d'une erreur dans le processeur système
Interruptions #GP (appelées nt! KiTrap). À cause des privilèges du noyau
peut être fait code arbitraire. Cela se produit parce que le système
vérifie incorrectement certains appels du BIOS sur une plate-forme x86 32 bits
une application 16 bits est en cours d'exécution. Pour exploiter la vulnérabilité, l'exploit crée
Application 16 bits (%windir%\twunk_16.exe), manipule certains
structure le système et appelle la fonction NtVdmControl() pour démarrer
Machine virtuelle DOS Windows (alias sous-système NTVDM), qui, à la suite de précédentes
la manipulation conduit à appeler le gestionnaire d'interruptions système #GP et
lorsque l'exploit est déclenché. Soit dit en passant, cela conduit à la seule limitation
exploit qui ne fonctionne que sur les systèmes 32 bits. En 64 bits
Les systèmes d'exploitation n'ont tout simplement pas d'émulateur pour exécuter des applications 16 bits.

Pourquoi les informations avec un exploit prêt à l'emploi sont-elles devenues accessibles au public ? À propos de la disponibilité
L'auteur de l'exploit a informé Microsoft de la vulnérabilité au début de l'année dernière et
a même reçu la confirmation que son rapport avait été accepté pour examen. Seul le panier
et maintenant là. Pendant un an, il n'y a pas eu de patch officiel de la part de la société, et l'auteur a décidé
publier des informations publiquement, en espérant que les choses aillent plus vite. Voyons,
le patch sera-t-il disponible au moment où le magazine sera mis en vente :) ?

Comment se protéger des exploits

Puisqu'il n'existe pas encore de mise à jour complète pour résoudre la vulnérabilité,
vous devrez utiliser des solutions de contournement. L'option la plus fiable est
désactivez les sous-systèmes MSDOS et WOWEXEC, ce qui privera immédiatement l'exploit
fonctionnalité, parce que il ne pourra plus appeler la fonction NtVdmControl()
pour démarrer le système NTVDM. Dans les anciennes versions de Windows, cela se fait via
le registre dans lequel vous devez trouver la branche HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
et ajoutez un symbole à son nom. Pour les systèmes d'exploitation modernes
vous devez définir une restriction sur l'exécution d'applications 16 bits via
politiques de groupe. Pour cela, appelez GPEDIT.MSC, puis rendez-vous dans la rubrique
"Configuration utilisateur/Modèles d'administration/Composants Windows/Compatibilité
applications" et activez l'option "Interdire l'accès aux applications 16 bits
applications".

WWW

Description de la vulnérabilité par l'auteur de l'exploit :

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Solution de contournement de Microsoft :

http://support.microsoft.com/kb/979682

AVERTISSEMENT

Les informations sont présentées à des fins éducatives. L'utiliser dans
à des fins illégales peut entraîner une responsabilité pénale.

Récemment, il y a plus précisément une semaine, j'ai attrapé un ver, et cela ne s'est jamais produit dans toutes mes préparations de thé ! Il fait nuit - vous ne pouvez pas appeler un technicien, et l'argent n'est que sur la carte - 200 roubles en poche Que faire, j'ai désespérément besoin d'un ordinateur !

Par téléphone, je vais dans les moteurs de recherche et tape le nom écrit dans le titre du sujet - ma mère, qu'est-ce que je découvre - cette créature vit sur Internet depuis 1993, et Microsoft Corporation est au courant, leur a informé le créateur spécifiquement. Aujourd'hui, lorsque ce ver pénètre dans votre ordinateur, il acquiert des droits d'administrateur et est capable d'effectuer n'importe quelle astuce.

Après avoir exploré plusieurs dizaines de forums, lu des centaines de conseils en une journée, sans savoir comment dormir, je grimpe dans les profondeurs de mon système et, en me serrant la main, je commence à ouvrir les dossiers et fichiers que j'ai lus. ténacité d'un loup affamé, j'en cherche la raison, mais... Je suis trop inexpérimenté pour cela Encore une fois, par téléphone, je vais sur notre site et j'écris à l'un de nos modérateurs... Le problème est très délicat. et pour ne pas me tourmenter, la personne me conseille de démonter le système et d'en installer un nouveau, mais je ne l'ai jamais fait moi-même ! Il me dit au téléphone (sans épargner pour les appels longue distance) comment procéder étape par étape, et je m'assois et l'écris. Après cela, il attend le résultat, et je m'assois et comprends que je suis vraiment désolé pour les informations accumulées... et je prends une décision, si je le démolis, j'aurai toujours le temps, mais maintenant je me battrai sur mon propre.

Dans tous les cas, je savais que nos gourous étaient à côté de moi et qu'ils me conseilleraient quoi faire et comment. En attendant, à mes risques et périls, je fais ce qui suit :

1) La bannière éteint l'ordinateur pour redémarrer après 60 secondes - cela signifie que ce temps doit être augmenté, et sur les conseils d'un membre du forum, je J'arrive à reculer l'horloge d'un an!

2) Je parcoure déjà calmement et lentement l'ensemble du registre et des programmes via AnvirTaskManager - il était le seul à poser des questions sur l'apparence nouveau programme, mais comme un con, je l'ai laissé passer.

3) n'y comprenant rien, je me lance scan complet AVAST, après avoir préalablement installé toutes les extensions dans les paramètres.

après 3,5 heures, il m'a donné 6 fichiers infectés - les voici

win32 malware-gen (2 pièces)

Fakeinst-T (2 pièces)

J'élimine simplement ces parasites sans même essayer de les traiter.

4) Ensuite, je vais sur Revo Unystailer et supprime tout ce que j'ai installé ces derniers jours, ainsi qu'AnvirTaskManager et Reg Organizier.

5) Je charge AVZ et le lance.

Et ici, un problème se pose - mon disque est divisé en deux C et N. C est analysé normalement et ne trouve rien, dès qu'il commence à analyser N, tout l'ordinateur entre dans la stupeur. Je redémarre - la bannière n'apparaît plus et je me calme, Internet fonctionne, mais Mozilla ne s'ouvre pas, je passe par Google Chrome.

Je vérifie N en mode en ligne. Purement! J'ouvre N, j'essaie de sélectionner un dossier - encore une fois l'ordinateur se bloque ! Après plusieurs tentatives pour l'ouvrir, je le scanne à nouveau avec AVAST et, ne trouvant rien, je décide de tout copier en C.

Après avoir copié en C, j'efface tous les N et je vais dans la copie - tout fonctionne !!!

Il y a une heure, j'ai téléchargé et mis à jour Mozilla et maintenant je profite de la vie. J'ai tout vérifié et maintenant je vais mettre à jour le Dr W curellt et le mettre en place pendant la nuit - juste pour apaiser ma conscience ! Gardez donc à l’esprit, chers collègues, que tout n’est pas si effrayant. Pour la sécurité de vos ordinateurs, faites comme indiqué dans le fichier ci-joint !!!

Que nos PC soient en bonne santé !!!

Cordialement à tous les lecteurs Alexey !

Dans le cadre d'un des projets, j'ai dû configurer une application censée exécuter sauvegarde bases de données sur un serveur MS SQL distant vers un stockage de fichiers sur un autre serveur. Accéder stockage à distance le compte sous lequel MS SQL est exécuté est utilisé. Dans notre cas, MS SQL a été lancé sous un compte local Service réseau(AUTORITÉ NT\NetworkService). Naturellement, ce compte local n’a aucune autorité sur le partage distant. Il était bien sûr possible de faire basculer MS SQL pour qu'il fonctionne sous un compte de domaine (ou), mais vous pouvez configurer accès à distance au partage et sous NT AUTHORITY\NetworkService.

Comment autoriser l'accès à d'autres ordinateurs sous le compte NetworkService

Si vous devez donner accès à plusieurs ordinateurs, le moyen le plus simple consiste à les combiner en un seul groupe et à donner accès au groupe. Créez un nouveau groupe dans AD et ajoutez-y tous les comptes d'ordinateurs qui doivent accéder à la ressource réseau avec les droits de service réseau. Dans les propriétés du dossier, accordez les autorisations requises au groupe.

Qu’en est-il des autres comptes locaux ?

Lorsque vous donnez accès à une ressource via compte ordinateur, l'accès est-il accordé à tous les autres comptes locaux ? Non – l'accès ne sera disponible que pour les comptes Système Et Service réseau. Tous les comptes locaux qui doivent être autorisés à accéder à une ressource réseau devront se voir accorder l'accès individuellement.