Vypnutie systému je spôsobené autoritným systémom nt. Dolu s používateľskou úrovňou: zvýšenie privilégií pre NT AUTHORITYSYSTEM v akejkoľvek verzii Windowsu

POZOR!!! POZOR!!! POZOR!!!
NEBEZPEČNÝ ČERV!!!

Symptómy: Pri práci na sieti zrazu vyskočí hláška, že je potrebné ukončiť všetky programy, ktoré šetria dáta, pretože... po 60 sek. dôjde k reštartu.

Diagnóza: Sieťový červ w32.Blaster.worm Červ využíva zraniteľnosť zistenú 16. júla v službe RPC DCOM, ktorá je prítomná vo všetkých. operačné systémy Rodiny Windows 2000, Windows XP a Windows 2003. Táto chyba zabezpečenia je pretečenie vyrovnávacej pamäte, ktoré je spôsobené správne vytvoreným paketom TCP/IP, ktorý prichádza na port 135, 139 alebo 445 napadnutého počítača. Umožňuje minimálne vykonať útok DoS (DoS znamená „odmietnutie služby“ alebo „odmietnutie služby“, v tomto prípade sa napadnutý počítač reštartuje) a maximálne spustiť ľubovoľný kód v pamäti napadnutého počítača. Keď sa nový červ rozšíri, zaútočí na port 135 a v prípade úspechu spustí program TFTP.exe, pomocou ktorého stiahne svoj spustiteľný súbor do napadnutého počítača. V tomto prípade sa používateľovi zobrazí správa o zastavení služby RPC a následnom reštarte. Po reštarte sa červ automaticky spustí a začne skenovať siete prístupné z počítača pre počítače s otvoreným portom 135. Ak sa nejaký nájde, červ zaútočí a všetko sa opakuje odznova. Navyše, súdiac podľa momentálnej miery šírenia, červ čoskoro zaujme prvé miesto v zoznamoch antivírusových spoločností.

Liek: Existujú tri spôsoby, ako sa chrániť pred červom. Po prvé, bulletin spoločnosti Microsoft obsahuje odkazy na opravy pre všetky zraniteľné verzie systému Windows, ktoré odstraňujú chybu RPC (tieto opravy boli vydané 16. júla, takže tí, ktorí pravidelne aktualizujú svoj systém, by sa nemali obávať). Po druhé, ak je port 135 uzavretý bránou firewall, červ nebude môcť preniknúť do počítača. Po tretie, vypnutie DCOM pomáha ako posledná možnosť (tento postup je podrobne popísaný v bulletine spoločnosti Microsoft). Ak ste teda ešte neboli napadnutí červom, dôrazne odporúčame čo najskôr stiahnuť opravu pre váš OS zo servera Microsoft (napríklad využiť služby Windows Update), prípadne nakonfigurovať blokovanie portov 135, 139 a 445 vo firewalle. Ak je váš počítač už infikovaný (a zobrazenie chybovej správy RPC jasne znamená, že je infikovaný), musíte vypnúť DCOM (inak každý nasledujúci útok spôsobí reštart), potom stiahnuť a nainštalovať opravu. Ak chcete červa zničiť, musíte odstrániť položku "windows auto update"="msblast.exe" z kľúča databázy Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, potom nájsť a vymazať súbor msblast.exe - toto je telo červa. Viac o postupe odstránenia červov si môžete prečítať na webovej lokalite spoločnosti Symantec.

V súčasnosti nie všetky antivírusy detegujú červa, môžete len dúfať v ochranu pred nimi po vydaní aktualizácií.

Ak ste takúto správu ešte nedostali, stiahnite si záplaty od strýka Billa:

Tu sú odkazy na medicínu pre NT 4.0 a 2000, 2003 Server

Doslova niekoľko dní predtým, ako sa vydanie dostalo do tlače, získal Metasploit
nový modul, o ktorom sme vám jednoducho nemohli nepovedať. Vďaka
nový príkaz getsystem, na ohrozenom systéme je teraz možné prejsť
z používateľskej úrovne na kruh 0, čím získate práva NT AUTHORITY\SYSTEM! A toto - v akomkoľvek
verzie systému Windows.

19. januára 2010 sa 0-dňová zraniteľnosť stala verejnou, čo umožňuje
zvýšenie privilégií kedykoľvek Verzie systému Windows, počnúc NT 3.1, vydaný v r
v roku 1993 a končiac novotvarom „sedem“. Na exploit-db.com od hackera Tavisa
Ormandy zverejnila zdroje zneužitia KiTrap0d aj skompilovanú verziu
binárne, pripravené na použitie. Pôvodný exploit si môže vyskúšať každý
ochotný. Ak to chcete urobiť, stačí extrahovať vdmexploit.dll a vdmallowed.exe z archívu,
nejakým spôsobom ho preneste do počítača obete a spustite tam súbor exe. IN
výsledok, bez ohľadu na to, ktorý používateľský účet
spustení sa zobrazí konzola s oprávneniami používateľa systému, teda NT
ORGÁN\SYSTÉM. Ak chcete skontrolovať, môžete na svojom počítači spustiť službu Sploit,
predtým prihlásení do systému ako bežný používateľ. Po spustení
Sploit otvorí nové okno cmd.exe s maximálnymi oprávneniami.

Čo to dáva? Predstavte si situáciu, že exploit prerazí nejakú aplikáciu a
dostane škrupinu vzdialený počítač. Nech je to miesto stretnutia pre internet
Prieskumník – v tomto prípade bude mať útočník prístup do systému s právami
používateľ, pod ktorého účtom bol prehliadač spustený. Nehádam sa, veľmi
často to bude účet s právami správcu (na vine je používateľ), ale
Ak nie? Tu môžete použiť KiTrap0d na zvýšenie svojich privilégií
na NT AUTHORITY\SYSTEM! Navyše aj tí používatelia, ktorí sú členmi skupiny
administrátor nemôže pristupovať k určitým oblastiam systému, napr.
čítanie hash hesiel používateľa (viac o tom nižšie). A systémový účet NT -
Možno! S týmto všetkým v čase uverejnenia článku neexistovala ani jedna oprava
Spoločnosť Microsoft nevydala opravu tejto chyby zabezpečenia.

Prevzatie operačného systému

Pôvodný exploit nebudeme predvádzať v akcii, pretože 25
V januári bol do Metasploitu pridaný nový skript, vďaka ktorému môžete používať
KiTrap0d sa stal ešte pohodlnejším. Možnosť pôvodne zahrnutá v databázach modulov bola
nestabilný a nefungoval vždy, ale neprešlo ani pol dňa, kým sa objavili všetky chyby
eliminovaný. Teraz je modul stiahnutý spolu so všetkými ostatnými aktualizáciami,
takže na inštaláciu stačí vybrať položku ponuky "Metasploit update".
Teraz, keď máte prístup k vzdialenému systému, môžete zadať „run kitrap0d“ a priniesť
zhromaždí do akcie. „Ale keďže je tu taká pitka, poďme túto záležitosť implementovať
špeciálny tím,“ mysleli si v dôsledku toho vývojári Metasploit
Toto je úžasný príkaz „zvýšiť privilégiá“, ktorý je dostupný cez
nadstavec meterpreter - veľmi sa nám páči :).

Máme teda prístup k vzdialenému systému (ilustračný príklad
operácia je uvedená v článku "Operácia Aurora") a sme v konzole
metasploit. Pozrime sa, ako sme na tom s právami:

meterpreter > getuid

áno, bežný používateľ. Možno je dokonca súčasťou skupiny
správcov, ale to je pre nás jedno. Pripojíme modul, v ktorom je implementovaný
príkaz getsystem, ktorý nás zaujíma, a skontrolujte, či sa načítal zobrazením
obrazovka pomocníka:

meterpreter > použiť priv
Načítavanie súkromia rozšírenia bolo úspešné.
meterpreter > getsystem -h
Použitie: getsystem
Pokúste sa povýšiť svoje privilégium na privilégium lokálneho systému.
MOŽNOSTI:

H Banner pomocníka.
-t Technika, ktorá sa má použiť. (Predvolená hodnota je "0").
0: Všetky dostupné techniky
1: Služba – odcudzenie identity pomenovaného kanála (v pamäti/správca)
2: Služba – odcudzenie identity pomenovaného potrubia (kvapkadlo/správca)
3: Služba – Duplikácia tokenov (v pamäti/správca)
4: Exploit – KiTrap0D (v pamäti/používateľ)

Ako vidíte, zlúčenie KiTrap0D implementuje iba časť funkčnosti príkazu.
Ak sa vám podarilo chytiť shell s používateľom, ktorý už má práva
správcu, potom na zvýšenie na úroveň NT AUTHORITY\SYSTEM, ktorú môžete použiť
tri ďalšie techniky (kláves -t vám umožňuje vybrať tú, ktorú potrebujete). Každopádne bez udania
žiadne parametre, povieme metasploitu, čo môže použiť
niektorý z prístupov. Vrátane KiTrap0D, ktorý zvýši naše privilégiá na úroveň
„Systém“, bez ohľadu na to, aké práva momentálne máme.

meterpreter > getsystem
...dostal systém (cez techniku ​​4).

Áno, dostali sme správu o úspešnom zvýšení oprávnení a o útoku
Bol to KiTrap0D, ktorý bol použitý - zrejme má prednosť. Sme naozaj?
vzrástol v systéme? Pozrime sa na naše aktuálne UID (identifikátor používateľa):

meterpreter > getuid

Jedzte! Len jeden príkaz v konzole metasploit a práva NT AUTHORITY\SYSTEM
nás vo vrecku. Ďalej, vo všeobecnosti je možné všetko. Dovoľte mi pripomenúť vám, ani jeden
V čase vydania časopisu neexistovala žiadna oprava od spoločnosti Microsoft.

Ukladanie hesiel

Keďže už máte prístup k systémovému účtu, musíte ho extrahovať
niečo užitočné. Metasploit má úžasný príkaz hashdump -
pokročilejšia verzia známeho nástroja pwdump. Navyše v poslednom
verzia metasploit obsahuje revidovanú verziu skriptu, ktorý používa
modernizovaný princíp extrakcie hashov LANMAN/NTLM a ešte nie je zistený
antivírusy. Ale o to nejde. Je dôležité vykonať príkaz hashdump
Vyžadujú sa práva NT AUTHORITY\SYSTEM. V opačnom prípade program vypíše chybu
"[-] priv_passwd_get_sam_hashes: Operácia zlyhala: 87". Toto sa deje preto
že LANMAN/NTLM hashe užívateľských hesiel sú uložené v špeciálnych vetvách registra
HKEY_LOCAL_MACHINE\SAM a HKEY_LOCAL_MACHINE\SECURITY, ktoré nie sú dostupné ani
správcovia. Možno ich čítať iba s oprávneniami systémového účtu.
Vo všeobecnosti použite exploit a potom príkaz hashdump
lokálne extrahovanie hash z registra nie je vôbec potrebné. Ale ak áno
Príležitosť tu je, prečo nie?

meterpreter > getuid
Používateľské meno servera: NT AUTHORITY\SYSTEM

meterpreter > spustiť hashdump
[*] Získavanie spúšťacieho kľúča...
[*] Výpočet kľúča hboot pomocou SYSKEY 3ed7[...]
[*] Získavanie zoznamu používateľov a kľúčov...
[*] Dešifrovanie používateľských kľúčov...
[*] Dumping hash hesiel...

Administrátor:500:aad3b435b51404eeaad3b435b51404ee:...
Hosť:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...

Hashe boli prijaté. Ostáva už len ich nakŕmiť niektorému z brutálnych vynucovačov, napr.
l0phtcrack.

Ako môžem získať späť svoje privilégiá?

Vtipná situácia nastala, keď som sa snažil vrátiť práva do normálu
užívateľ späť. Príkaz rev2self, ktorý som našiel, nefungoval a ja stále
zostal "NT AUTHORITY\SYSTEM": zjavne je navrhnutý na prácu s tromi
iné prístupy implementované v getsystem. Ukázalo sa, že sa vracia
privilégiá, je potrebné „ukradnúť“ token procesu spusteného týmto používateľom,
ktoré potrebujeme. Všetky procesy teda zobrazíme príkazom ps a vyberieme z nich
vhodné:

meterpreter > ps
Zoznam procesov
============
Názov PID Arch Používateľská cesta
--- ---- ---- ---- ----
0
4 System x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\používateľ C:\WINDOWS\Explorer.EXE
...

Ako vidíme, explorer.exe sa spúšťa pod bežným používateľom
účtu a má PID=1560. Teraz v skutočnosti môžete „ukradnúť token“ pomocou
príkaz ukradnúť_token. PID sa mu odovzdá ako jediný parameter
požadovaný proces:

meterpreter > steal_token 1558
Ukradnutý token s používateľským menom: WINXPSP3\user
meterpreter > getuid
Používateľské meno servera: WINXPSP3\používateľ

Súdiac podľa poľa „Používateľské meno servera“ bola operácia úspešná.

Ako to funguje?

Nakoniec stojí za to hovoriť o povahe zraniteľnosti, ktorá viedla k jej vzniku
Sploit. K narušeniu bezpečnosti dochádza v dôsledku chyby v procesore systému
#GP preruší (čo sa nazýva nt!KiTrap). Kvôli tomu s privilégiami jadra
môže byť urobené ľubovoľný kód. To sa deje, pretože systém
nesprávne kontroluje niektoré volania systému BIOS na 32-bitovej platforme x86
je spustená 16-bitová aplikácia. Na zneužitie zraniteľnosti vytvára exploit
16-bitová aplikácia (%windir%\twunk_16.exe), manipuluje s niektorými
systémových štruktúr a spustí funkciu NtVdmControl().
Windows Virtual DOS Machine (známy ako subsystém NTVDM), ktorý v dôsledku predchádzajúceho
manipulácia vedie k volaniu obsluhy prerušení systému #GP a
pri spustení exploitu. Mimochodom, toto vedie k jedinému obmedzeniu
exploit, ktorý funguje iba na 32-bitových systémoch. V 64-bit
Operačné systémy jednoducho nemajú emulátor na spustenie 16-bitových aplikácií.

Prečo sa informácie s hotovým exploitom stali verejne dostupnými? O dostupnosti
Autor exploitu informoval Microsoft o zraniteľnosti začiatkom minulého roka a
dokonca dostal potvrdenie, že jeho správa bola prijatá na posúdenie. Iba vozík
a teraz tam. Rok neexistoval žiadny oficiálny patch od spoločnosti a autor sa rozhodol
zverejňovať informácie verejne v nádeji, že sa veci pohnú rýchlejšie. Pozrime sa,
bude patch dostupný, kým bude časopis v predaji :)?

Ako sa chrániť pred zneužitím

Keďže zatiaľ neexistuje úplná aktualizácia na vyriešenie tejto chyby zabezpečenia,
budete musieť použiť riešenia. Najspoľahlivejšia možnosť je
deaktivovať podsystémy MSDOS a WOWEXEC, čo okamžite pripraví o exploit
funkčnosť, pretože už nebude môcť volať funkciu NtVdmControl().
na spustenie systému NTVDM. V starších verziách systému Windows sa to robí cez
register, v ktorom musíte nájsť vetvu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
a pridajte k jeho názvu nejaký symbol. Pre moderný OS
musíte nastaviť obmedzenie spúšťania 16-bitových aplikácií cez
skupinové politiky. Ak to chcete urobiť, zavolajte na GPEDIT.MSC a potom prejdite do sekcie
"Konfigurácia používateľa/Šablóny pre správu/Komponenty systému Windows/Kompatibilita
aplikácie“ a aktivujte možnosť „Zakázať prístup k 16-bit
aplikácie“.

WWW

Popis zraniteľnosti od autora exploitu:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Alternatívne riešenie od spoločnosti Microsoft:

http://support.microsoft.com/kb/979682

POZOR

Informácie sú prezentované na vzdelávacie účely. Používa sa v
na nezákonné účely môže viesť k trestnej zodpovednosti.

Nedávno, presnejšie pred týždňom, som chytil červíka a toto sa mi ešte nikdy nestalo pri celej mojej príprave čaju! Je nočný čas - nemôžete zavolať technika a peniaze sú iba na karte - 200 rubľov vo vrecku, zúfalo potrebujem počítač!

Cez telefón idem do vyhľadávačov a zadávam meno napísané v názve témy - moja mama, čo sa dozviem - tento tvor žije na internete už od roku 1993 a Microsoft Corporation o tom vie, informoval ich tvorca konkrétne. Dnes, keď sa tento červ dostane do vášho počítača, získa administrátorské práva a je schopný vykonávať akékoľvek triky.

Po preskúmaní niekoľkých desiatok fór, prečítaní stoviek tipov za deň, bez toho, aby som vedel, ako spať, vliezam do hlbín svojho systému a s trasúcimi sa rukami začínam s húževnatosťou otvárať priečinky a súbory, o ktorých som čítal hladného vlka, hľadám príčinu, ale... Som na to príliš neskúsený Opäť cez telefón idem na našu stránku a píšem jednému z našich moderátorov... Problém je veľmi ošemetný a aby ma netýral človek mi radí zbúrať systém a nainštalovať nový, ale sám som to nikdy nerobil! Po telefóne mi povie (nešetrí náklady na medzimestské hovory), ako to urobiť krok za krokom, a ja si sadnem a zapíšem si to. Potom čaká na výsledok a ja sedím a chápem, že ma veľmi mrzia nahromadené informácie... a rozhodujem sa, ak to zbúram, vždy budem mať čas, ale teraz budem bojovať na svojom vlastné.

V každom prípade som vedel, že naši guru sú vedľa mňa a poradia, čo robiť a ako. Medzitým na vlastné nebezpečenstvo a riziko robím nasledovné:

1) Banner vypne počítač, aby sa reštartoval po 60 sekundách - to znamená, že tento čas je potrebné predĺžiť a na radu jedného člena fóra som Podarilo sa mi nastaviť hodiny o rok späť!

2) Už si pokojne a pomaly prezerám celý register a programy cez AnvirTaskManager - bol jediný, kto sa pýtal na vzhľad nový program, ale ako cica som to nechala prejst.

3) ničomu tam nerozumiem, spustím úplné skenovanie AVAST, ktorý predtým nainštaloval všetky rozšírenia v nastaveniach.

po 3,5 hodinách mi dal 6 infikovaných súborov - tu sú

win32 malware-gen (2 kusy)

Fakeinst-T (2ks)

Jednoducho odstránim týchto škodcov bez toho, aby som sa ich snažil liečiť.

4) Potom prejdem do Revo Unystailer a odstránim všetko, čo som nainštaloval za posledných pár dní, spolu s AnvirTaskManager a Reg Organizier.

5) Načítam AVZ a spustím ho.

A tu nastáva problém - disk mám rozdelený na dve C a N. C normálne skenuje a nič nenájde, akonáhle začne skenovať N celý počítač ide do stuporov. Reštartujem - banner už nevyskakuje a upokojujem sa, internet funguje, ale mozilla sa neotvára, prechádzam cez Google Chrome.

Kontrolujem N v režime online. Čisto! Otvorím N, pokúsim sa vybrať priečinok - počítač opäť zamrzne! Po niekoľkých pokusoch o otvorenie ho znova naskenujem AVAST-om a keďže nič nenájdem, rozhodnem sa všetko skopírovať do C.

Po skopírovaní do C vymažem všetky N a idem do kópie - všetko funguje!!!

Pred hodinou som si stiahol a aktualizoval Mozillu a teraz si užívam život. Všetko som skontroloval a teraz aktualizujem Dr. W curellt a nasadím si ho cez noc – len aby som si uľavil svedomiu! Takže majte na pamäti, milí kolegovia, nie všetko je také strašidelné. Pre bezpečnosť vašich počítačov postupujte podľa pokynov v priloženom súbore!!!

Nech sú naše PC zdravé!!!

S úctou ku všetkým čitateľom Alexey!

V rámci jedného z projektov som musel nakonfigurovať aplikáciu, ktorá mala fungovať zálohovanie databázy na vzdialenom serveri MS SQL do úložiska súborov na inom serveri. Pristúpiť vzdialené úložisko používa sa účet, pod ktorým beží MS SQL. V našom prípade bol MS SQL spustený pod lokálnym účtom Sieťová služba(NT AUTHORITY\NetworkService). Prirodzene, tento lokálny účet nemá žiadne oprávnenie na vzdialené zdieľanie. Bolo samozrejme možné prepnúť MS SQL na prácu pod doménovým účtom (alebo), ale dá sa nakonfigurovať vzdialený prístup do zdieľania a pod NT AUTHORITY\NetworkService.

Ako povoliť prístup k iným počítačom pod účtom NetworkService

Ak potrebujete poskytnúť prístup k viacerým počítačom, najjednoduchším spôsobom je spojiť ich do jednej skupiny a poskytnúť prístup do skupiny. Vytvorte novú skupinu v AD a pridajte do nej všetky počítačové účty, ktoré by mali pristupovať k sieťovému prostriedku s právami sieťovej služby. Vo vlastnostiach priečinka udeľte skupine požadované povolenia.

A čo ostatné miestne účty?

Pri poskytovaní prístupu k zdroju cez účtu počítač, je prístup povolený všetkým ostatným lokálnym účtom? Nie – prístup bude k dispozícii iba pre účty systém A Sieťová služba. Všetkým lokálnym účtom, ktorým je potrebné povoliť prístup k sieťovému prostriedku, bude potrebné udeliť prístup jednotlivo.