Shutdown sistem disebabkan oleh sistem otoritas nt. Turun dengan tingkat pengguna: meningkatkan hak istimewa ke NT AUTHORITYSYSTEM di versi Windows apa pun

PERHATIAN!!! PERHATIAN!!! PERHATIAN!!!
CACING BERBAHAYA!!!

Gejala: Saat bekerja di jaringan, sebuah pesan tiba-tiba muncul memberitahukan Anda bahwa semua program yang menyimpan data perlu dihentikan karena... setelah 60 detik. reboot akan terjadi.

Diagnosa: Worm jaringan w32.Blaster.worm. Worm ini mengeksploitasi kerentanan yang ditemukan pada 16 Juli di layanan RPC DCOM, yang ada di semua sistem operasi Keluarga Windows 2000, Windows XP dan Windows 2003. Kerentanan ini adalah buffer overflow, yang disebabkan oleh paket TCP/IP yang dibuat dengan benar yang tiba di port 135, 139 atau 445 dari komputer yang diserang. Hal ini memungkinkan, minimal, untuk melakukan serangan DoS (DoS berarti “Denial of Service”, atau “denial of service”; dalam hal ini, komputer yang diserang di-boot ulang), dan, maksimal, untuk mengeksekusi kode apa pun dalam memori komputer yang diserang. Ketika worm baru menyebar, ia menyerang port 135 dan, jika berhasil, meluncurkan program TFTP.exe, yang kemudian digunakan untuk mengunduh file yang dapat dieksekusi ke komputer yang diserang. Dalam hal ini, pengguna diberikan pesan tentang menghentikan layanan RPC dan kemudian melakukan boot ulang. Setelah reboot, worm secara otomatis memulai dan mulai memindai jaringan yang dapat diakses dari komputer untuk komputer dengan port terbuka 135. Jika ada yang terdeteksi, worm tersebut melancarkan serangan, dan semuanya terulang kembali. Terlebih lagi, dilihat dari tingkat penyebarannya saat ini, worm ini akan segera menempati posisi pertama dalam daftar perusahaan antivirus.

Obat-obatan: Ada tiga cara untuk melindungi diri Anda dari worm. Pertama, buletin Microsoft berisi tautan ke tambalan untuk semua versi Windows yang rentan yang menutup kelemahan RPC (tambalan ini dirilis pada 16 Juli, jadi mereka yang memperbarui sistem secara rutin tidak perlu khawatir). Kedua, jika port 135 ditutup oleh firewall, worm tidak akan bisa menembus komputer. Ketiga, menonaktifkan DCOM membantu sebagai upaya terakhir (prosedur ini dijelaskan secara rinci di buletin Microsoft). Jadi, jika Anda belum terserang worm, sangat disarankan untuk mengunduh patch untuk OS Anda dari server Microsoft sesegera mungkin (misalnya, menggunakan layanan Pembaruan Windows), atau mengkonfigurasi pemblokiran port 135, 139 dan 445 di firewallnya. Jika komputer Anda sudah terinfeksi (dan munculnya pesan kesalahan RPC jelas berarti komputer tersebut terinfeksi), maka Anda perlu mematikan DCOM (jika tidak, setiap serangan berikutnya akan menyebabkan reboot), lalu unduh dan instal patch. Untuk menghancurkan worm, Anda perlu menghapus entri "windows auto update"="msblast.exe" dari kunci registri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, lalu cari dan hapus file msblast.exe - ini adalah tubuh cacing tersebut. Anda dapat membaca lebih lanjut tentang prosedur penghapusan worm di situs Symantec.

Saat ini, tidak semua antivirus mendeteksi worm tersebut, Anda hanya dapat mengharapkan perlindungan dari antivirus tersebut setelah pembaruan dirilis.

Jika Anda belum menerima pesan seperti itu, unduh patch dari Paman Bill:

Berikut ini link ke obat untuk NT 4.0 dan 2000, 2003 Server

Secara harfiah beberapa hari sebelum terbitan ini diterbitkan, Metasploit mengakuisisi
sebuah modul baru yang mau tidak mau kami ceritakan kepada Anda. Terimakasih untuk
perintah getsystem baru, pada sistem yang dikompromikan sekarang dimungkinkan untuk digunakan
dari Level Pengguna ke ring0, mendapatkan hak NT AUTHORITY\SYSTEM! Dan ini - dalam hal apa pun
versi Windows.

Pada tanggal 19 Januari 2010, kerentanan 0 hari diumumkan ke publik, sehingga memungkinkan
peningkatan hak istimewa kapan saja Versi Windows, mulai dari NT 3.1, dirilis pada
pada tahun 1993, dan diakhiri dengan “tujuh” bermodel baru. Di eksploitasi-db.com oleh peretas Tavis
Ormandy menerbitkan sumber eksploitasi KiTrap0d dan versi kompilasinya
biner, siap digunakan. Siapa pun dapat mencoba eksploitasi asli
bersedia. Untuk melakukan ini, Anda hanya perlu mengekstrak vdmexploit.dll dan vdmallowed.exe dari arsip,
entah bagaimana mentransfernya ke mesin korban, dan menjalankan file exe di sana. DI DALAM
hasilnya, terlepas dari akun pengguna mana
diluncurkan, konsol akan muncul dengan hak pengguna sistem, yaitu NT
OTORITAS\SISTEM. Untuk memeriksanya, Anda dapat menjalankan Sploit di mesin Anda,
setelah sebelumnya masuk ke sistem sebagai pengguna biasa. Setelah peluncuran
Sploit akan membuka jendela cmd.exe baru dengan hak istimewa maksimal.

Apa manfaatnya? Bayangkan sebuah situasi di mana eksploitasi menerobos beberapa aplikasi dan
mendapat cangkang komputer remot. Biarkan ini menjadi titik temu bagi Internet
Explorer - dalam hal ini, penyerang akan memiliki akses ke sistem dengan hak
pengguna yang akunnya meluncurkan browser. Saya tidak membantah, sangat
seringkali ini adalah akun dengan hak administrator (pengguna yang bersalah), tapi
jika tidak? Di sinilah Anda dapat menggunakan KiTrap0d untuk meningkatkan hak istimewa Anda
ke NT AUTHORITY\SYSTEM! Apalagi bahkan para pengguna yang tergabung dalam grup
administrator, tidak dapat mengakses area tertentu dari sistem, misalnya,
membaca hash kata sandi pengguna (lebih lanjut tentang ini di bawah). Dan akun sistem NT -
Mungkin! Dengan semua ini, pada saat artikel ini diterbitkan, tidak ada satupun patch darinya
Microsoft belum merilis perbaikan untuk kerentanan tersebut.

Pengambilalihan Sistem Operasi

Kami tidak akan mendemonstrasikan eksploitasi asli dalam tindakan, karena 25
Januari skrip baru telah ditambahkan ke Metasploit, terima kasih yang dapat Anda gunakan
KiTrap0d menjadi lebih nyaman. Opsi yang awalnya disertakan dalam database modul adalah
tidak stabil dan tidak selalu berfungsi, tetapi tidak sampai setengah hari berlalu sebelum semua kesalahan muncul
dihilangkan. Sekarang modul telah diunduh bersama dengan semua pembaruan lainnya,
jadi untuk menginstal, cukup pilih item menu "Pembaruan Metasploit".
Sekarang, memiliki akses ke sistem jarak jauh, Anda dapat mengetik "run kitrap0d" dan membawanya
akan bersatu dalam tindakan. “Tetapi karena ada pesta minum-minum, mari kita terapkan masalah ini
tim khusus,” pikir para pengembang Metasploit
Ini adalah perintah "tinggikan hak istimewa" yang luar biasa, dapat diakses melalui
ekstensi meterpreter - kami sangat menyukainya :).

Jadi, kami memiliki akses ke sistem jarak jauh (contoh ilustratif
operasi diberikan dalam artikel "Operasi Aurora") dan kita berada di konsol
metasploit. Mari kita lihat bagaimana kinerja kami dengan hak:

meterpreter > getuid

Ya, pengguna biasa. Mungkin dia bahkan bagian dari grup
administrator, tapi itu tidak masalah bagi kami. Kami menghubungkan modul di mana ia diimplementasikan
perintah getsystem yang kami minati, dan periksa apakah sudah dimuat dengan menampilkan
layar bantuan:

meterpreter > gunakan priv
Memuat privasi ekstensi...berhasil.
meterpreter > getsystem -h
Penggunaan: getsystem
Cobalah untuk meningkatkan hak istimewa Anda ke sistem lokal.
PILIHAN:

H Spanduk Bantuan.
-t Teknik yang digunakan. (Bawaannya adalah "0").
0: Semua teknik tersedia
1: Layanan - Peniruan Identitas Pipa Bernama (Dalam Memori/Admin)
2: Layanan - Peniruan Identitas Pipa Bernama (Dropper/Admin)
3: Layanan - Duplikasi Token (Dalam Memori/Admin)
4: Eksploitasi - KiTrap0D (Dalam Memori/Pengguna)

Seperti yang Anda lihat, penggabungan KiTrap0D hanya mengimplementasikan sebagian fungsi perintah.
Jika Anda berhasil mengambil shell dengan pengguna yang sudah memiliki hak
administrator, lalu untuk menaikkan ke level NT AUTHORITY\SYSTEM dapat Anda gunakan
tiga teknik lainnya (tombol -t memungkinkan Anda memilih salah satu yang Anda perlukan). Pokoknya, tanpa menentukan
tidak ada parameter sama sekali, kami akan memberi tahu metasploit apa yang bisa digunakannya
salah satu pendekatan. Termasuk KiTrap0D yang akan meningkatkan keistimewaan kita setingkat
"Sistem", tidak peduli hak apa yang kita miliki saat ini.

meterpreter > getsystem
...mendapat sistem (melalui teknik 4).

Ya, kami menerima pesan tentang keberhasilan peningkatan hak istimewa, dan untuk serangan
Yang digunakan adalah KiTrap0D - rupanya memiliki prioritas. Apakah kita benar-benar
naik dalam sistem? Mari kita periksa UID (pengidentifikasi pengguna) kita saat ini:

meterpreter > getuid

Makan! Hanya satu perintah di konsol metasploit dan hak NT AUTHORITY\SYSTEM
kami di saku Anda. Lebih lanjut, secara umum, segala sesuatu mungkin terjadi. Izinkan saya mengingatkan Anda, tidak satu pun
Belum ada patch dari Microsoft pada saat majalah tersebut diterbitkan.

Membuang kata sandi

Karena Anda sudah memiliki akses ke akun sistem, Anda perlu mengekstraknya
sesuatu yang bermanfaat. Metasploit memiliki perintah hashdump yang luar biasa -
versi yang lebih canggih dari utilitas pwdump yang terkenal. Apalagi yang terakhir
Versi metasploit menyertakan versi revisi dari skrip yang digunakan
prinsip modern untuk mengekstraksi hash LANMAN/NTLM dan belum terdeteksi
antivirus. Tapi bukan itu intinya. Penting untuk menjalankan perintah hashdump
Hak NT AUTHORITY\SYSTEM diperlukan. Jika tidak, program akan menimbulkan kesalahan
"[-] priv_passwd_get_sam_hashes: Operasi gagal: 87". Hal ini terjadi karena
bahwa hash LANMAN/NTLM dari kata sandi pengguna disimpan di cabang registri khusus
HKEY_LOCAL_MACHINE\SAM dan HKEY_LOCAL_MACHINE\SECURITY, yang bahkan tidak dapat diakses
administrator. Mereka hanya dapat dibaca dengan hak istimewa akun sistem.
Secara umum, gunakan eksploitasi dan kemudian perintah hashdump untuk
mengekstraksi hash secara lokal dari registri sama sekali tidak diperlukan. Tapi jika demikian
Peluangnya ada, kenapa tidak?

meterpreter > getuid
Nama pengguna server: NT AUTHORITY\SYSTEM

meterpreter > jalankan hashdump
[*] Mendapatkan kunci boot...
[*] Menghitung kunci hboot menggunakan SYSKEY 3ed7[...]
[*] Mendapatkan daftar pengguna dan kunci...
[*] Mendekripsi kunci pengguna...
[*] Membuang hash kata sandi...

Administrator:500:aad3b435b51404eeaad3b435b51404ee:...
Tamu:501:aad3b435b51404eeaad3b435b51404ee:...
Asisten Bantuan:1000:ce909bd50f46021bf4aa40680422f646:...

Hash telah diterima. Yang tersisa hanyalah memberi mereka makan ke salah satu pemaksa, misalnya,
l0phtcrack.

Bagaimana saya bisa mendapatkan kembali hak istimewa saya?

Situasi lucu terjadi ketika saya mencoba mengembalikan hak menjadi normal
pengguna kembali. Perintah rev2self yang saya temukan tidak berfungsi dan saya masih melakukannya
tetap "NT AUTHORITY\SYSTEM": rupanya, ini dirancang untuk bekerja dengan tiga
pendekatan lain yang diterapkan di getsystem. Ternyata kembali
hak istimewa, perlu untuk "mencuri" token dari proses yang diluncurkan oleh pengguna tersebut,
yang kita butuhkan. Oleh karena itu, kami menampilkan semua proses dengan perintah ps dan memilihnya
sesuai:

juru meter > ps
Daftar proses
============
Jalur Pengguna Lengkungan Nama PID
--- ---- ---- ---- ----
0
4 Sistem x86 NT OTORITAS\SISTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\pengguna C:\WINDOWS\Explorer.EXE
...

Seperti yang bisa kita lihat, explorer.exe diluncurkan tepat di bawah pengguna normal
akun dan memiliki PID=1560. Sekarang sebenarnya Anda bisa “mencuri token” dengan menggunakan
perintah steal_token. PID diteruskan ke sana sebagai satu-satunya parameter
proses yang diperlukan:

meterpreter > steal_token 1558
Token yang dicuri dengan nama pengguna: WINXPSP3\user
meterpreter > getuid
Nama pengguna server: WINXPSP3\pengguna

Dilihat dari kolom "Nama pengguna server", operasi berhasil.

Bagaimana itu bekerja?

Terakhir, penting untuk membicarakan sifat kerentanan yang menyebabkan munculnya kerentanan tersebut
Merusak. Pelanggaran keamanan terjadi karena kesalahan pada prosesor sistem
#GP interupsi (yang disebut nt!KiTrap). Karena itu dengan hak istimewa kernel
dapat dilakukan kode sewenang-wenang. Hal ini terjadi karena sistem
salah memeriksa beberapa panggilan BIOS saat menggunakan platform x86 32-bit
aplikasi 16-bit sedang berjalan. Untuk mengeksploitasi kerentanan, eksploitasi menciptakan
Aplikasi 16-bit (%windir%\twunk_16.exe), memanipulasi beberapa
struktur sistem dan memanggil fungsi NtVdmControl() untuk memulai
Mesin Windows Virtual DOS (alias subsistem NTVDM), yang merupakan hasil dari sebelumnya
manipulasi mengarah pada pemanggilan pengendali interupsi sistem #GP dan
ketika eksploitasi dipicu. Omong-omong, ini mengarah pada satu-satunya batasan
eksploitasi yang hanya bekerja pada sistem 32-bit. Dalam 64-bit
Sistem operasi tidak memiliki emulator untuk menjalankan aplikasi 16-bit.

Mengapa informasi dengan eksploitasi yang sudah jadi tersedia untuk umum? Tentang ketersediaan
Penulis eksploitasi memberi tahu Microsoft tentang kerentanan tersebut pada awal tahun lalu dan
bahkan mendapat konfirmasi bahwa laporannya telah diterima untuk dipertimbangkan. Hanya gerobak
dan sekarang di sana. Selama setahun tidak ada patch resmi dari perusahaan, dan penulis memutuskan
mempublikasikan informasi secara publik, dengan harapan segala sesuatunya akan berjalan lebih cepat. Mari kita lihat,
apakah patchnya akan tersedia pada saat majalah mulai dijual :)?

Bagaimana melindungi diri Anda dari eksploitasi

Karena belum ada pembaruan lengkap untuk mengatasi kerentanan tersebut,
Anda harus menggunakan solusi. Opsi yang paling dapat diandalkan adalah
nonaktifkan subsistem MSDOS dan WOWEXEC, yang akan segera menghilangkan eksploitasi
fungsionalitas, karena itu tidak lagi dapat memanggil fungsi NtVdmControl()
untuk memulai sistem NTVDM. Di versi Windows yang lebih lama, ini dilakukan melalui
registri di mana Anda perlu menemukan cabang HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
dan tambahkan beberapa simbol pada namanya. Untuk OS modern
Anda perlu menetapkan batasan dalam menjalankan aplikasi 16-bit melalui
kebijakan kelompok. Untuk melakukan ini, hubungi GPEDIT.MSC, lalu buka bagian tersebut
"Konfigurasi Pengguna/Templat Administratif/Komponen/Kompatibilitas Windows
aplikasi" dan aktifkan opsi "Larang akses ke 16-bit
aplikasi".

WWW

Deskripsi kerentanan dari pembuat eksploitasi:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Solusi dari Microsoft:

http://support.microsoft.com/kb/979682

PERINGATAN

Informasi disajikan untuk tujuan pendidikan. Menggunakannya di
untuk tujuan ilegal dapat mengakibatkan pertanggungjawaban pidana.

Baru-baru ini, lebih tepatnya seminggu yang lalu, saya terserang cacing, dan hal ini tidak pernah terjadi selama pembuatan teh saya! Ini malam hari - Anda tidak dapat memanggil teknisi, dan uang hanya ada di kartu - 200 rubel di saku Apa yang harus saya lakukan, saya sangat membutuhkan komputer!

Melalui telepon saya masuk ke mesin pencari dan mengetikkan nama yang tertulis di judul topik - ibu saya, apa yang saya temukan - makhluk ini telah hidup di Internet sejak 1993, dan Microsoft Corporation mengetahuinya, pembuatnya memberi tahu mereka secara khusus. Saat ini, ketika worm ini masuk ke komputer Anda, ia memperoleh hak administrator dan mampu melakukan trik apa pun.

Setelah menjelajahi beberapa lusin forum, setelah membaca ratusan tips dalam sehari, tanpa mengetahui cara tidur, saya masuk ke kedalaman sistem saya dan, dengan tangan gemetar, mulai membuka folder dan file yang saya baca. tentang serigala lapar, saya mencari alasannya, tapi... Saya terlalu berpengalaman untuk ini. Sekali lagi, melalui telepon, saya membuka situs web kami dan menulis ke salah satu moderator kami... Masalahnya sangat rumit dan agar tidak menyiksa saya, orang tersebut menyarankan saya untuk merobohkan sistem dan menginstal yang baru, tetapi saya sendiri belum pernah melakukannya! Dia memberi tahu saya melalui telepon (tanpa mengeluarkan biaya untuk panggilan jarak jauh) bagaimana melakukannya langkah demi langkah, dan saya duduk dan menuliskannya. Setelah itu, dia menunggu hasilnya, dan saya duduk dan memahami bahwa saya sangat menyesal atas akumulasi informasi... dan saya membuat keputusan, jika saya menghancurkannya, saya akan selalu punya waktu, tetapi sekarang saya akan berjuang sendiri memiliki.

Bagaimanapun, saya tahu bahwa guru kami ada di samping saya dan mereka akan memberi nasihat tentang apa yang harus dilakukan dan bagaimana caranya. Sementara itu, atas risiko dan risiko saya sendiri, saya melakukan hal berikut:

1) Spanduk mematikan komputer untuk reboot setelah 60 detik - ini berarti waktu ini perlu ditambah, dan atas saran salah satu anggota forum saya Saya berhasil memutar waktu kembali ke satu tahun!

2) Saya sudah dengan tenang dan perlahan memeriksa seluruh registri dan program melalui AnvirTaskManager - dialah satu-satunya yang bertanya tentang tampilannya program baru, tapi seperti orang bodoh aku membiarkannya lewat.

3) tidak memahami apa pun di sana, saya meluncurkannya Memindai keseluruhan AVAST, setelah sebelumnya menginstal semua ekstensi di pengaturan.

setelah 3,5 jam dia memberi saya 6 file yang terinfeksi - ini dia

win32 malware-gen (2 buah)

Fakeinst-T (2 buah)

Saya hanya membasmi hama ini tanpa berusaha mengobatinya.

4)Kemudian saya pergi ke Revo Unystailer dan menghapus semua yang saya instal selama beberapa hari terakhir, bersama dengan AnvirTaskManager dan Reg Organizier.

5) Saya memuat AVZ dan meluncurkannya.

Dan di sini muncul masalah - disk saya dibagi menjadi dua C dan N. C dipindai secara normal dan tidak menemukan apa pun, segera setelah mulai memindai N, seluruh komputer menjadi pingsan. Saya reboot - spanduk tidak lagi muncul dan saya tenang, Internet berfungsi, tetapi mozilla tidak terbuka, saya melalui Google Chrome.

Saya memeriksa N dalam mode online. Murni! Saya membuka N, coba pilih folder - lagi-lagi komputer macet! Setelah beberapa kali mencoba membukanya, saya memindainya lagi dengan AVAST dan, karena tidak menemukan apa pun, saya memutuskan untuk menyalin semuanya ke C.

Setelah menyalin ke C, saya menghapus semua N dan masuk ke salinan - semuanya berfungsi!!!

Satu jam yang lalu saya mengunduh dan memperbarui Mozilla dan sekarang saya menikmati hidup. Saya sudah memeriksa semuanya dan sekarang saya akan memperbarui Dr. W Curellt dan memakainya semalaman - hanya untuk menenangkan hati nurani saya! Jadi perlu diingat, rekan-rekan terkasih, tidak semuanya begitu menakutkan. Demi keamanan komputer Anda, lakukan seperti yang ditunjukkan dalam file terlampir!!!

Semoga PC kita sehat!!!

Hormat kami kepada semua pembaca, Alexei!

Sebagai bagian dari salah satu proyek, saya harus mengkonfigurasi aplikasi yang seharusnya berfungsi cadangan database di server MS SQL jarak jauh ke penyimpanan file di server lain. Untuk mengakses penyimpanan jarak jauh akun yang menjalankan MS SQL digunakan. Dalam kasus kami, MS SQL diluncurkan dengan akun lokal Layanan Jaringan(NT AUTHORITY\NetworkService). Tentu saja, akun lokal ini tidak memiliki otoritas apa pun pada share jarak jauh. Tentu saja dimungkinkan untuk mengalihkan MS SQL agar berfungsi di bawah akun domain (atau), tetapi Anda dapat mengonfigurasinya akses jarak jauh untuk berbagi dan di bawah NT AUTHORITY\NetworkService.

Cara mengizinkan akses ke komputer lain di bawah akun NetworkService

Jika Anda perlu memberikan akses ke beberapa komputer, cara termudah adalah dengan menggabungkannya ke dalam satu grup dan memberikan akses ke grup tersebut. Buat grup baru di AD dan tambahkan semua akun komputer yang harus mengakses sumber daya jaringan dengan hak Layanan Jaringan. Di properti folder, berikan izin yang diperlukan ke grup.

Bagaimana dengan akun lokal lainnya?

Saat memberikan akses ke sumber daya melalui akun komputer, apakah akses diberikan ke semua akun lokal lainnya? Tidak – akses hanya akan tersedia untuk akun Sistem Dan Layanan Jaringan. Setiap akun lokal yang perlu diberi akses ke sumber daya jaringan harus diberikan akses secara individual.