Mbyllja e sistemit shkaktohet nga sistemi i autoritetit n. Poshtë niveli i përdoruesit: ngritja e privilegjeve për NT AUTHORITYSYSTEM në çdo version të Windows

KUJDES!!! KUJDES!!! KUJDES!!!
KRIMB I RREZIKSHËM!!!

Simptomat: Kur punoni në rrjet, papritmas shfaqet një mesazh që ju informon se është e nevojshme të mbyllni të gjitha programet që ruajnë të dhëna sepse... pas 60 sekondash. do të ndodhë një rindezje.

Diagnoza: Krimbi i rrjetit w32.Blaster.worm. Krimbi shfrytëzon një dobësi të gjetur më 16 korrik në shërbimin RPC DCOM, i cili është i pranishëm në të gjitha sistemet operative Familjet e Windows 2000, Windows XP dhe Windows 2003. Kjo dobësi është një tejmbushje buferi, e cila shkaktohet nga një paketë TCP/IP e krijuar siç duhet që arrin në portin 135, 139 ose 445 të kompjuterit të sulmuar. Ai lejon, të paktën, të kryejë një sulm DoS (DoS do të thotë "Mohimi i Shërbimit" ose "Mohimi i shërbimit"; në këtë rast, kompjuteri i sulmuar riniset) dhe, në maksimum, të ekzekutojë çdo kod. në kujtesën e kompjuterit të sulmuar. Kur krimbi i ri përhapet, ai sulmon portin 135 dhe, nëse është i suksesshëm, lëshon programin TFTP.exe, duke përdorur të cilin shkarkon skedarin e tij të ekzekutueshëm në kompjuterin e sulmuar. Në këtë rast, përdoruesit i jepet një mesazh për ndalimin e shërbimit RPC dhe më pas rinisjen. Pas një rindezjeje, krimbi fillon automatikisht dhe fillon të skanojë rrjetet e aksesueshme nga kompjuteri për kompjuterë me portën e hapur 135. Nëse zbulohet ndonjë, krimbi fillon një sulm dhe gjithçka përsëritet përsëri. Për më tepër, duke gjykuar nga shkalla e përhapjes për momentin, krimbi së shpejti do të zërë vendin e parë në listat e kompanive antivirus.

Bar: Ka tre mënyra për të mbrojtur veten nga krimbi. Së pari, buletini i Microsoft përmban lidhje me arna për të gjitha versionet e cenueshme të Windows që mbyllin defektin RPC (këto arna u lëshuan më 16 korrik, kështu që ata që përditësojnë rregullisht sistemin e tyre nuk duhet të shqetësohen). Së dyti, nëse porti 135 mbyllet nga një mur zjarri, krimbi nuk do të jetë në gjendje të depërtojë në kompjuter. Së treti, çaktivizimi i DCOM ndihmon si mjetin e fundit (kjo procedurë përshkruhet në detaje në buletinin e Microsoft). Kështu, nëse nuk jeni sulmuar ende nga një krimb, rekomandohet fuqimisht të shkarkoni një patch për OS tuaj nga një server Microsoft sa më shpejt të jetë e mundur (për shembull, përdorni shërbimet e Windows Update), ose konfiguroni bllokimin e porteve 135, 139 dhe 445 në murin e zjarrit. Nëse kompjuteri juaj është tashmë i infektuar (dhe shfaqja e një mesazhi gabimi RPC do të thotë qartë se ai është i infektuar), atëherë duhet të fikni DCOM (përndryshe çdo sulm i mëpasshëm do të shkaktojë një rindezje), më pas shkarkoni dhe instaloni patch-in. Për të shkatërruar krimbin, duhet të hiqni hyrjen "windows auto update"="msblast.exe" nga çelësi i regjistrit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, më pas gjeni dhe fshini skedarin msblast.exe - kjo është trupi i krimbit. Mund të lexoni më shumë rreth procedurës së heqjes së krimbave në faqen e internetit të Symantec.

Për momentin, jo të gjithë antivirusët e zbulojnë krimbin; mund të shpresoni për mbrojtje prej tyre vetëm pasi të publikohen përditësimet.

Nëse nuk keni marrë ende një mesazh të tillë, shkarkoni arna nga Uncle Bill:

Këtu janë lidhjet me mjekësinë për Serverin NT 4.0 dhe 2000, 2003

Fjalë për fjalë disa ditë para se çështja të dilte në shtyp, Metasploit bleu
një modul i ri për të cilin thjesht nuk mund të mos ju tregonim. Falë
komanda e re getsystem, në një sistem të komprometuar tani është e mundur të shkosh
nga Niveli i Përdoruesit në ring0, duke fituar të drejtat NT AUTHORITY\SYSTEM! Dhe kjo - në çdo
versionet e Windows.

Më 19 janar 2010, një cenueshmëri 0-ditore u bë publike, duke lejuar
ngritja e privilegjeve në çdo kohë versionet e Windows, duke filluar nga NT 3.1, i lëshuar në
në 1993, dhe duke përfunduar me "shtatën" e re. Në exploit-db.com nga hakeri Tavis
Ormandy publikoi si burimet e shfrytëzimit të KiTrap0d ashtu edhe versionin e përpiluar
binare, gati për përdorim. Çdokush mund të provojë shfrytëzimin origjinal
të gatshëm. Për ta bërë këtë, ju vetëm duhet të nxirrni vdmexploit.dll dhe vdmallowed.exe nga arkivi,
transferojeni disi në makinën e viktimës dhe ekzekutoni skedarin exe atje. NË
rezultat, pavarësisht nga llogaria e përdoruesit
nisja, do të shfaqet një tastierë me privilegje të përdoruesit të sistemit, domethënë NT
AUTORITETI\SISTEMI. Për të kontrolluar, mund të ekzekutoni Sploit në kompjuterin tuaj,
pasi të keni hyrë më parë në sistem si përdorues i rregullt. Pas nisjes
Sploit do të hapë një dritare të re cmd.exe me privilegje maksimale.

Çfarë jep kjo? Imagjinoni një situatë ku një shfrytëzim kalon nëpër disa aplikacione dhe
merr një guaskë në kompjuter në distancë. Le të jetë kjo një pikë grumbullimi për internetin
Explorer - në këtë rast, sulmuesi do të ketë qasje në sistem me të drejtat
përdoruesi nën llogarinë e të cilit është nisur shfletuesi. Unë nuk debatoj, shumë
shpesh kjo do të jetë një llogari me të drejta administratori (përdoruesi është fajtor), por
nese jo? Këtu mund të përdorni KiTrap0d për të rritur privilegjet tuaja
tek NT AUTORITETI\SYSTEM! Për më tepër, edhe ata përdorues që janë anëtarë të grupit
administratori, nuk mund të hyjë në zona të caktuara të sistemit, për shembull,
leximi i hasheve të fjalëkalimit të përdoruesit (më shumë për këtë më poshtë). Dhe llogaria e sistemit NT -
Ndoshta! Me gjithë këtë, në kohën e publikimit të artikullit nuk kishte asnjë copëz të vetme nga
Microsoft nuk ka lëshuar një rregullim për dobësinë.

Marrja e Sistemit Operativ

Ne nuk do ta demonstrojmë shfrytëzimin origjinal në veprim, sepse 25
Janar një skenar i ri u shtua në Metasploit, falë të cilit mund ta përdorni
KiTrap0d është bërë edhe më i përshtatshëm. Opsioni i përfshirë fillimisht në bazat e të dhënave të modulit ishte
i paqëndrueshëm dhe jo gjithmonë funksiononte, por nuk kaloi as gjysmë dite para se të shfaqeshin të gjitha gabimet
eliminohet. Tani moduli është shkarkuar së bashku me të gjitha përditësimet e tjera,
kështu që për të instaluar, thjesht zgjidhni artikullin e menusë "Përditësimi i Metasploit".
Tani, duke pasur akses në sistemin në distancë, mund të shkruani "run kitrap0d" dhe të sjellësh
do të bashkohet në veprim. “Por meqenëse ka një zbavitje të tillë të pijeve, le ta zbatojmë këtë çështje
një ekip special”, menduan zhvilluesit e Metasploit. Si rezultat
Kjo është një komandë e mrekullueshme "ngritja e privilegjeve", e aksesueshme përmes
Zgjatja e meterpreter - na pëlqen shumë :).

Pra, ne kemi akses në sistemin në distancë (shembull ilustrues
operacioni është dhënë në artikullin "Operacioni Aurora") dhe ne jemi në tastierë
metasploit. Le të shohim se si po ia dalim me të drejtat:

meterpreter > getuid

Po, përdorues i rregullt. Ndoshta ai është edhe pjesë e grupit
administratorët, por kjo nuk ka rëndësi për ne. Ne lidhim modulin në të cilin është implementuar
komandën getsystem që na intereson dhe kontrollojmë nëse është ngarkuar duke shfaqur
ekrani i ndihmës:

meterpreter > përdor priv
Ngarkimi i shtesës priv... sukses.
meterpreter > getsystem -h
Përdorimi: getsystem
Përpiquni të ngrini privilegjin tuaj në atë të sistemit lokal.
OPSIONE:

H Banner i ndihmës.
-t Teknika për t'u përdorur. (E parazgjedhur është "0").
0: Të gjitha teknikat në dispozicion
1: Shërbimi - Imitim i quajtur Pipe (Në Memorie/Admin)
2: Shërbimi - Imitimi i quajtur Pipe (Dropper/Admin)
3: Shërbimi - Dyfishimi i Tokenit (Në Memorie/Admin)
4: Exploit - KiTrap0D (Në memorie/Përdorues)

Siç mund ta shihni, bashkimi KiTrap0D zbaton vetëm një pjesë të funksionalitetit të komandës.
Nëse keni arritur të kapni një guaskë me një përdorues që tashmë ka të drejta
administratori, pastaj për të ngritur në nivelin NT AUTHORITY\SYSTEM mund të përdorni
tre teknika të tjera (tasti -t ju lejon të zgjidhni atë që ju nevojitet). Gjithsesi, pa specifikuar
nuk ka fare parametra, ne do t'i tregojmë metasploit se çfarë mund të përdorë
ndonjë nga qasjet. Përfshirë KiTrap0D, i cili do të rrisë privilegjet tona në nivel
“Sistemi”, pavarësisht se çfarë të drejtash kemi aktualisht.

meterpreter > getsystem
... mori sistemin (nëpërmjet teknikës 4).

Po, morëm një mesazh për një ngritje të suksesshme të privilegjeve dhe për një sulm
Ishte KiTrap0D që u përdor - me sa duket ka përparësi. A jemi vërtet
u rrit në sistem? Le të kontrollojmë UID-in tonë aktual (identifikuesin e përdoruesit):

meterpreter > getuid

Hani! Vetëm një komandë në tastierën e metasploit dhe të drejtat NT AUTHORITY\SYSTEM
ne në xhepin tuaj. Për më tepër, në përgjithësi, gjithçka është e mundur. Më lejoni t'ju kujtoj, jo një të vetme
Nuk kishte asnjë patch nga Microsoft në kohën kur u publikua revista.

Hedhja e fjalëkalimeve

Meqenëse tashmë keni akses në llogarinë e sistemit, duhet të nxirrni nga kjo
diçka e dobishme. Metasploit ka një komandë të mrekullueshme hashdump -
një version më i avancuar i mjetit të mirënjohur pwdump. Për më tepër, në të fundit
versioni i metasploit përfshin një version të rishikuar të skriptit që përdor
një parim i modernizuar për nxjerrjen e hasheve LANMAN/NTLM dhe ende nuk është zbuluar
antiviruset. Por kjo nuk është çështja. Është e rëndësishme që të ekzekutohet komanda hashdump
Kërkohen të drejtat NT AUTORITET\SYSTEM. Përndryshe, programi do të shkaktojë një gabim
"[-] priv_passwd_get_sam_hashes: Operacioni dështoi: 87". Kjo ndodh sepse
që haset LANMAN/NTLM të fjalëkalimeve të përdoruesve ruhen në degë të veçanta të regjistrit
HKEY_LOCAL_MACHINE\SAM dhe HKEY_LOCAL_MACHINE\SECURITY, të cilat nuk janë as të aksesueshme
administratorët. Ato mund të lexohen vetëm me privilegje të llogarisë së sistemit.
Në përgjithësi, përdorni exploit dhe më pas komandën hashdump to
nxjerrja lokale e hash-it nga regjistri nuk është aspak e nevojshme. Por nëse e tillë
Ekziston mundësia, pse jo?

meterpreter > getuid
Emri i përdoruesit të serverit: NT AUTHORITY\SYSTEM

meterpreter > ekzekutoj hashdump
[*] Marrja e çelësit të nisjes...
[*] Llogaritja e tastit hboot duke përdorur SYSKEY 3ed7[...]
[*] Marrja e listës së përdoruesve dhe çelësave...
[*] Po deshifrohen çelësat e përdoruesit...
[*] Hedhja e hasheve të fjalëkalimit...

Administratori:500:aad3b435b51404eeaad3b435b51404ee:...
I ftuar:501:aad3b435b51404eeaad3b435b51404ee:...
Ndihmësi i ndihmës:1000:ce909bd50f46021bf4aa40680422f646:...

Hashët janë marrë. E tëra që mbetet është t'i ushqejmë njërit prej dhunuesve brutë, për shembull,
l0phtcrack.

Si mund t'i kthej privilegjet e mia?

Një situatë qesharake ndodhi kur u përpoqa të ktheja të drejtat në normalitet
kthimi i përdoruesit. Komanda rev2self që gjeta nuk funksionoi dhe unë ende
mbeti "NT AUTHORITY\SYSTEM": me sa duket, është krijuar për të punuar me tre
qasje të tjera të zbatuara në getsystem. Doli të kthehej
privilegje, është e nevojshme të "vidhet" shenja e procesit të nisur nga ai përdorues,
që ne kemi nevojë. Prandaj, ne shfaqim të gjitha proceset me komandën ps dhe zgjedhim prej tyre
i përshtatshëm:

meterpreter > ps
Lista e proceseve
============
Rruga e përdoruesit të emrit PID Arch
--- ---- ---- ---- ----
0
4 Sistemi x86 NT AUTORITETI\SISTEMI
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\përdoruesi C:\WINDOWS\Explorer.EXE
...

Siç mund ta shohim, explorer.exe lëshohet vetëm nën përdoruesin normal
llogari dhe ka PID=1560. Tani, në fakt, ju mund të "vjedhni një shenjë" duke përdorur
komanda steal_token. PID i kalohet atij si parametër i vetëm
procesi i kërkuar:

meterpreter > steal_token 1558
Shenja e vjedhur me emrin e përdoruesit: WINXPSP3\user
meterpreter > getuid
Emri i përdoruesit të serverit: WINXPSP3\user

Duke gjykuar nga fusha "Emri i përdoruesit të serverit", operacioni ishte i suksesshëm.

Si punon?

Së fundi, ia vlen të flitet për natyrën e cenueshmërisë që çoi në shfaqjen
Sploit. Shkelja e sigurisë ndodh për shkak të një gabimi në procesorin e sistemit
Ndërpret #GP (që quhet nt!KiTrap). Për shkak të tij me privilegje kernel
mund të bëhet kod arbitrar. Kjo ndodh sepse sistemi
kontrollon gabimisht disa thirrje BIOS kur është në një platformë 32-bit x86
po funksionon një aplikacion 16-bit. Për të shfrytëzuar cenueshmërinë, shfrytëzimi krijon
Aplikacioni 16-bit (%windir%\twunk_16.exe), manipulon disa
strukturon sistemin dhe thërret funksionin NtVdmControl() për të filluar
Windows Virtual DOS Machine (aka nënsistemi NTVDM), i cili si rezultat i mëparshëm
manipulimi çon në thirrjen e mbajtësit të ndërprerjeve të sistemit #GP dhe
kur shkaktohet shfrytëzimi. Nga rruga, kjo çon në kufizimin e vetëm
shfrytëzim që funksionon vetëm në sistemet 32-bit. Në 64-bit
Sistemet operative thjesht nuk kanë një emulator për ekzekutimin e aplikacioneve 16-bit.

Pse informacioni me një shfrytëzim të gatshëm u bë i disponueshëm publikisht? Rreth disponueshmërisë
Autori i shfrytëzimit informoi Microsoft-in për dobësinë në fillim të vitit të kaluar dhe
madje mori konfirmimin se raporti i tij ishte pranuar për shqyrtim. Vetëm karrocë
dhe tani atje. Për një vit nuk kishte asnjë patch zyrtar nga kompania, dhe autori vendosi
publikoni informacionin publikisht, duke shpresuar se gjërat do të ecin më shpejt. Le të shohim,
a do të jetë i disponueshëm patch-i në kohën kur revista të dalë në shitje :)?

Si të mbroheni nga shfrytëzimet

Meqenëse nuk ka ende një përditësim të plotë për të zgjidhur cenueshmërinë,
do t'ju duhet të përdorni zgjidhje. Opsioni më i besueshëm është
çaktivizoni nënsistemet MSDOS dhe WOWEXEC, të cilat do të privojnë menjëherë shfrytëzimin
funksionalitetin, sepse nuk do të jetë më në gjendje të thërrasë funksionin NtVdmControl().
për të nisur sistemin NTVDM. Në versionet e vjetra të Windows kjo bëhet nëpërmjet
regjistri në të cilin duhet të gjeni degën HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
dhe shtoni një simbol në emrin e saj. Për OS moderne
ju duhet të vendosni një kufizim për ekzekutimin e aplikacioneve 16-bit nëpërmjet
politikat e grupit. Për ta bërë këtë, telefononi GPEDIT.MSC, më pas shkoni te seksioni
"Konfigurimi i përdoruesit / Modelet Administrative / Përbërësit e Windows / Përputhshmëria
aplikacionet" dhe aktivizoni opsionin "Ndaloni aksesin në 16-bit
aplikacionet”.

WWW

Përshkrimi i cenueshmërisë nga autori i shfrytëzimit:

http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html

Zgjidhje nga Microsoft:

http://support.microsoft.com/kb/979682

PARALAJMËRIM

Informacioni është paraqitur për qëllime edukative. Duke e përdorur atë në
për qëllime të paligjshme mund të rezultojë me përgjegjësi penale.

Kohët e fundit, më saktë një javë më parë, kam kapur një krimb dhe kjo nuk ka ndodhur kurrë në të gjithë çajin tim! Është natë - nuk mund të telefononi një teknik, dhe paratë janë vetëm në kartë - 200 rubla në xhep. Çfarë të bëj, më duhet dëshpërimisht një kompjuter!

Përmes telefonit hyj në motorët e kërkimit dhe shkruaj emrin e shkruar në titullin e temës - nëna ime, çfarë marr vesh - kjo krijesë jeton në internet që nga viti 1993, dhe Microsoft Corporation e di për këtë, i informoi krijuesi. konkretisht. Sot, kur ky krimb futet në kompjuterin tuaj, ai fiton të drejtat e administratorit dhe është i aftë të kryejë çdo mashtrim.

Pasi kam eksploruar disa dhjetëra forume, duke lexuar qindra këshilla në ditë, pa ditur se si të fle, ngjitem në thellësitë e sistemit tim dhe, duke shtrënguar duart, filloj të hap dosjet dhe skedarët për të cilët kam lexuar. këmbëngulja e një ujku të uritur, po kërkoj arsyen, por... jam shumë i papërvojë për këtë, përsëri përmes telefonit shkoj në faqen tonë dhe i shkruaj njërit prej moderatorëve tanë... Problemi është shumë i ndërlikuar dhe për të mos më munduar, personi më këshillon të prish sistemin dhe të instaloj një të ri, por unë kurrë nuk e kam bërë këtë vetë! Ai më thotë përmes telefonit (duke mos kursyer asnjë shpenzim për thirrjet në distancë) si ta bëj hap pas hapi dhe unë ulem dhe e shkruaj. Pas kësaj, ai pret rezultatin, dhe unë ulem dhe e kuptoj që më vjen shumë keq për informacionin e grumbulluar... dhe marr një vendim, nëse e prish, do të kem gjithmonë kohë, por tani do të luftoj për veten time. vet.

Sido që të jetë, e dija që gurusët tanë ishin pranë meje dhe ata do të këshillonin se çfarë të bëja dhe si. Ndërkohë, me rrezikun dhe rrezikun tim, bëj sa vijon:

1) Baneri fik kompjuterin për t'u rindezur pas 60 sekondash - kjo do të thotë që kjo kohë duhet të rritet, dhe me këshillën e një anëtari të forumit unë Arrij ta kthej orën një vit mbrapa!

2) Unë tashmë po shikoj me qetësi dhe ngadalë të gjithë regjistrin dhe programet përmes AnvirTaskManager - ai ishte i vetmi që pyeti për pamjen program i ri, por si pinjoll e lashë të kalonte.

3) duke mos kuptuar asgjë atje, nis skanim i plotë AVAST, pasi kishte instaluar më parë të gjitha shtesat në cilësimet.

pas 3.5 orësh më dha 6 dosje të infektuara - ja ku janë

win32 malware-gen (2 copë)

Fakeinst-T (2 copë)

Unë thjesht i largoj këto dëmtues pa u përpjekur as t'i trajtoj ato.

4) Më pas shkoj te Revo Unystailer dhe fshij gjithçka që kam instaluar gjatë ditëve të fundit, së bashku me AnvirTaskManager dhe Reg Organizier.

5) Ngarkoj AVZ dhe e nis atë.

Dhe këtu lind një problem - disku im është i ndarë në dy C dhe N. C skanohet normalisht dhe nuk gjen asgjë, sapo fillon të skanojë N i gjithë kompjuteri shkon në hutim. Unë rindiz - baneri nuk shfaqet më dhe qetësohem, Interneti funksionon, por mozilla nuk hapet, kaloj përmes Google Chrome.

Unë kontrolloj N në modalitetin on-line. Thjesht! Unë hap N, përpiqem të zgjedh një dosje - përsëri kompjuteri ngrin! Pas disa përpjekjesh për ta hapur, e skanoj përsëri me AVAST dhe, duke mos gjetur asgjë, vendos të kopjoj gjithçka në C.

Pas kopjimit në C, unë pastroj të gjitha N dhe hyj në kopje - gjithçka funksionon!!!

Një orë më parë shkarkova dhe përditësova Mozilla-n dhe tani po shijoj jetën. Kontrollova gjithçka dhe tani do ta përditësoj Dr. W curellt dhe do ta vendos brenda natës - vetëm për të lehtësuar ndërgjegjen time! Pra, mbani në mend, të dashur kolegë, jo gjithçka është aq e frikshme. Për sigurinë e kompjuterëve tuaj, bëni siç tregohet në skedarin e bashkangjitur!!!

Qofshin të shëndetshëm kompjuterët tanë!!!

Me respekt për të gjithë lexuesit Alexey!

Si pjesë e një prej projekteve, më duhej të konfiguroja një aplikacion që duhej të performonte rezervë bazat e të dhënave në një server të largët MS SQL në një ruajtje skedarësh në një server tjetër. Për të hyrë ruajtje në distancë përdoret llogaria në të cilën funksionon MS SQL. Në rastin tonë, MS SQL u lançua nën një llogari lokale Shërbimi i Rrjetit(AUTORITETI NT\Shërbimi i Rrjetit). Natyrisht, kjo llogari lokale nuk ka asnjë autoritet për ndarjen në distancë. Ishte e mundur, natyrisht, të kaloni MS SQL për të punuar nën një llogari domeni (ose), por mund të konfiguroni akses në distancë te share dhe nën NT AUTORITET\NetworkService.

Si të lejoni aksesin në kompjuterë të tjerë nën llogarinë NetworkService

Nëse keni nevojë të siguroni akses në disa kompjuterë, mënyra më e lehtë është t'i kombinoni në një grup dhe të siguroni akses në grup. Krijoni një grup të ri në AD dhe shtoni në të të gjitha llogaritë kompjuterike që duhet të hyjnë në burimin e rrjetit me të drejtat e Shërbimit të Rrjetit. Në vetitë e dosjes, jepni lejet e kërkuara për grupin.

Po në lidhje me llogaritë e tjera lokale?

Kur siguroni akses në një burim nëpërmjet llogari kompjuter, a jepet akses në të gjitha llogaritë e tjera lokale? Jo - qasja do të jetë e disponueshme vetëm për llogaritë Sistemi Dhe Shërbimi i Rrjetit. Çdo llogari lokale që duhet të lejohet qasja në një burim rrjeti do të duhet t'i jepet akses individualisht.