Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability

Pirms kaut kādas nedēļas pasaule uzzināja par to cik vienkārši pāris sekunžu laikā var dabūt jebkura Windows paroli, kas sastāv no burtiem un cipariem. Ar nelielu piebildi, ka jādabū pats paroļu fails, tālāk jau ievadam paroles hash un pēc speciālas sistēmas tas tiek uzlauzts. Ja kāds nemāk vai negrib lasīt angļu ziņas, tad par šo paroļu laušanu var palasīt iekš antivirus.lv.

Paroles varēja uzlauzt arī iepriekš, vienīgi tas prasīja daudz vairāk laika nekā izmantojot šo jauno Šveices zinātnieku izstrādāto sistēmu.

Atļaušos jūs vēl mazliet pabiedēt un atgādināt par vienu rakstu, ko pirms gada uzrakstīju – Ar IE’en 0.30 var uzlauzt tavu internet bankas kontu. Tas ir tiešā sakarā ar šo rakstu, jo ir saistīts ar parolēm kā arī Microsoft Windows DCOM par kuru patiesībā arī gribēju uzrakstīt.

Un atkal visās Windows NT – 2003 versijās ir atrasts bīstams caurums, kas izmantojot Microsoft Windows DCOM RPC servisa nepilnību dod iespēju hakerim iegūt pilnu pieeju jūsu datoram. Te būs izrāvums no Microsoft problēmas aprasta.

This is a buffer overrun vulnerability. An attacker who successfully exploited this vulnerability could gain complete control over a remote computer. This would give the attacker the ability to take any action on the server that they want. For example, and attacker could change Web pages, reformat the hard disk, or add new users to the local administrators group.

To carry out such an attack, an attacker would require the ability to send a malformed message to the RPC service and thereby cause the target machine to fail in such a way that arbitrary code could be executed.

Viss jau būtu labi, ja nebūtu centīgo ķīniešu, kas jau pēc nedēļas izlaida exploitu šim caurumam. Exploits tiek piedāvāts nenokompilēts, bet gan kā izejas kods un tas netraucē nevienam to nokompilēt un pielietot dzīvē.

DCOM exploit

Atļaušos nocitēt vienu rindkopu no iepriekš pieminētā raksta pa internet bankas uzlaušanu kurā tika izmantots tas pats nelaimīgais DCOM.

Programma darbojas pateicoties M$ Windows sistēmās izmantotam DCOM (The Distributed Component Object Model) protokolam. Ar šī protokola palīdzību programatūras komponentes var komunicēties savā starpā pa tiešo caur tīklu uzticamā, drošā un efektīvā veidā. DCOM pēc noklusēšanas tiek uzinstalēts visās Windows sistēmās un tiek palaists lietotājam nezinot.

Viens no veidiem kā aizsargāt sevi ir izmantot ugunsmūri, bet vēl efektīvāks paņēmiens būtu atslēgt pašu DCOM servisu, lai tas netraucē dzīvot. Lai gan iespējams, ka kādam tas varētu radīt problēmas, jo DCOM tiek izmantots darbā, lai programmas varētu komunicēties lokālajā vai kādā citā tīklā. Tādā gadījumā nāksies likt ielāpu, ko piedāvā Microsoft.

Bet, ja jums nav nepieciešams izmantot DCOM, tad var mēģināt šo servisu atslēgt.

Nospiežam Start -> Run...
ierakstam dcomcnfg Enter
jaunatvērtajā logā izvēlamies Default properties
un noņemam ķeksīti no Enable Distributed COM on this computer un OK
Viss, tagad mēs esam atslēguši DCOM servisu un mums vairs nedraud nedz šis, nedz arī iepriekš aprakstītais internet bankas uzlaušanas variants.

Sistēmu administratoriem eEye Digital Security piedāvā speciālu skaneri, kas noteiks kuras sistēmas vēl nav salāpītas. Ceru, ka eEye uz mani neapvainosies, ja piedāvāšu viņu bezmaksas rīku savā lapā, jo, lai to lejupielādētu nācās reģistrēties viņu sistēmā un ziedot spam e-pastu 😉

Lejupielādei Retina RPC DCOM Vulnerability Scanner v1.0.3d 776KiB

Detalizētāku problēmas aprakstu ar risinājumiem un ielāpiem var atrast sekojošās adresēs:
securityfocus.com – te var atrast pilnīgi visu, kas saistīts ar šo caurumu, ieskaitot visus ielāpus un izejas kodus
MS03-026: Buffer Overrun in RPC Interface May Allow Code Execution – oficiālais skaidrojums ar ielāpiem

30 thoughts on “Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability

  1. Reiniz

    Cik labi buut Linux lietotaajam…;) Ja veel paklausaas klientu beedu staastus par pazudushiem datiem viirusu darbiibas rezultaataa….

    Atbildēt
  2. Kaklz

    I’m safe 🙂
    Pēc tam, kad dažs labs cilvēks ircā norādīja uz šo kļūdu, gadījās jau novērst 😉 bet nu tauta diezgan aktīvi ar viņu darbojās ..

    Atbildēt
  3. Storms

    Rocinjas, rocinjas un veelreiz rocinjas. Vismaz tiem kas atljaujas par sevi domaat ka ir kas vairaak par useri tik daudz jau nu bija jaajeedz ka RPC var tikt izmantots TIKAI ieksheejos tiiklos. Tobish nekaadu publisko tiiklu. Pats Microsoft jau no laika gala censhas “daklaudzinaaties” liidz adminiem ar tekstu ka RPC nav paredzeets lietoshanai publiskajos tiiklos un tiem ir jaabuut sleegtiem firewall liimenii. Arii koderiem tiek sniegtas rekomendaacijas neizmantot RPC aplikaacijaam kuraam buus jaastraadaa caur publiskajiem tiikliem. Viss velti. Liela adminu dalja uzskata ka ir tik kruti ka RTFM nau prieksh vinjiem un tiek draazti uz ELEMENTAARAAKAJAAM security lietaam kuras pielabot Microsoft ir uzticeejis adminiem. Prieksh tam viss nepiecieshamais ir – gan vajadziigie tuulji gan manuaalji.
    Par to pashu parolju uzlaushanu. Izklausaas jau nu briesmiigi, bet kaa vienmeer izraadaas – taa tomeer ir un paliek teorija kas tikai laboratorijas apstaakljos ir paarbaudiita praktiski. Pirmkaart ja parolee paraadaas kaut viena ziime kas nav ne cipars ne burts taa laushanai nepiecieshamais atminjas apjoms ir vienkaarshi nejeedziigs (Tuvaak iesaku palasiit peedeejo Digital Times par sho teemu). Arii shim gadiijumam ir sakariigas Microsoft rekomendaacijas kuras ieveerojot to paroli varees lauzt dirzdams. Otrkaart shis parolju fails veel ir jaadabuon – kameer sisteema ir pacelta tikmeer shis parolju fails ir neaksesojams. Taatad ir jaabuut fiziskai piekljuvei pie servera lai iebuutotos piemeeram no flopja un nepalaishot serveri piekljuut sisteemas diska saturam.
    Vissliktaakajaa situaacijaa gan ir parastais home useris kas neko daudz vairaak par Word, Excel, Outllok Express un Internet Explorer nejeedz. Shaadam userim pat i praataa neienaaks ka tikko uzinstaleetaa un pie interneta piesleegtaa darba stacija bez kvalificeetas piestraadaashanas ir potenciaala probleema. Kautgan arii shajaa virzienaa jau ir krietni piestraadaats ieksh Windows XP Professiona un Windows XP Home. Tik vien tik taa nelaime ka tie kas uzskata sevi augstaak par useriem esam ar vieglu roku un daudz neiedziljinoties ierubii advanceetaas features un izrubii saakotneeji ielikto aizsardziibu.
    Par pashu rakstu: Nekaa jauna te taa ir netika pateikts. Ir savaaktas vienkop dazhaadu laiku un dazhaadu zinju avotu izplatiitaas zinjas. Piekam pieljaujot tieshi to pashu “neuzmaniibu” – nepastaastiit visu liidz galam.
    Rakstaa piedaavaatais risinaajums atsleegt DCOM gan viesh neuzticiibu. DCOM izmanto arii lokaalaas kastes servisi un programmas sleedzoties klaat pie shii DCOM ljoti liidziigi kaa caur tiiklu. Reaali notiek konekts no lokaalaas kastes viena porta uz lokaalaas kastes otru portu. Atsleedzot DCOM OS var kljuut nestabila, kautkas var nestraadaat vai uzvesties neadekvaati. Ikdienas logi ar kljuudu pazinjojumiem garanteeti. Protams viss atkariigs no taa kaadi sofi uz kastes griezhas. Mazaak saapiigs un vienkaarshaaks panjeemiens ir ieksh tiikla parametriem atsleegt, vai pilniibaa izmest “Client for Microsoft Networks”, “File and Printer Sharing for Microsoft Networks” un ieksh “Internet Protocol (TCP/IP)” -> Properties -> Advanced -> WINS atsleegt NetBIOS over TCP/IP. Ja ir pasham savs firewall tad pavisam easy – neveert valjaa 135 portu – RPC port mapper. Tas tak ir tik elementaari!
    Taa kaa es personiigi visaa shinii breekaa redzu tikai adminu liikaas rocinjas.

    Atbildēt
  4. endrju

    Gļuks jau tika ietestēts tikko kā parādījās (visiem adminiem, pēc manām domām, ir *obligāti* jāsēž attiecīgajās listēs) un teikšu tā, ka šis gļuks pēc pamatīgas izpētes strādā “ne visai” labi. Tātād:
    1. Ja nezin, kas cilvēkam precīzi par OS, tad palaižot šo exploitu uz nepareizo OS (kas cilvēkam nemaz nav) tas nenostrādā un ottreizēja pieeja nav iespējama. Cilvēka dators (mērķis, target, whatever) savukārt izmet erroru par “svchost” vai ko tamlīdzīgu.
    2. Exploits strādā tikai tādā gadījumā, ja cilvēks ir restartējis datoru un šis exploits tiek izmēģināts ~20 minūšu laikā, citādi exploits var nenostrādāt (protams, ka ir reti gadījumi, kad nostrādā) – tātad upura datoram būtu jābūt tikko ieslēgtam.
    3. Pieeju iegūst tikai uz “Command Promt”, tālākais jau ir “hakera” ziņā.
    4. Exploits strādās tikai tādā gadījumā, ja uz upura datora ir atvērts 135 ports.
    5. Defaultais exploits (kas ir iznācis publiski) izveido konekciju uz upura datora 4444 portu, tādēļ var vienkāršs firewall var “atrisināt” šo problēmu (jo kā visiem zināms pārsvarā cilvēki, kas izmanto gatavus exploitus, nevis tos raksta, nemāk parrakstīt, kaut vai tā, lai tie slēgtos pie cita porta).
    Rezumējums:
    Cik daudz cilvēkiem var teikt, ka 135-139 portus nekādā gadījumā nevajag atstāt atvērtus uz ārējo tīklu??? Tā jau ir liela problēma kopš Windows 95, kad varēja viegli tikt pie C: satura. Nekas nav mainījies – Žēl. Kādi ir neizglītoti – tādi ir. Cilvēki nesaprot vienkāršas lietas… (jo Latvijā es nepārspīlējot atradu ļoti daudzus datorus, kam – 1. stāv vaļā šāres. 2. strādā šis exploits.)

    Starp citu, šī exploita “mēģināšana” pamatīgi sagrauj upura datoru, kā rezultātā perfekti nestrādā NetBIOS un arī daudzas Microsoft produkcijas darbību, tādēļ cilvēki parasti datorus ātri vien restartē un nav lielas jēgas no šī exploita, ja vien “hakeris” nav pietiekoši ātrs.
    Starp citu, Kaklz 😉 Salaboji savu darba datoru?

    Atbildēt
  5. freds

    cik atceros, tad SAM varēja arī ar admina rightiem izcelt no repair diras. protams, ka normāls admins neatstās vaļā publiskajā tīklā 135 tcp, bet problēma tomēr arī ir un paliek piem. lielu uzņēmumu lokālajos tīklos, kur pietiek savu amatieru – hakeru, jo blin praktiski katra darba stacija ir vaļā…

    Atbildēt
  6. Nikns

    Tikai uz viena pc no visiem uz kuriem izmeginaju dabuuju comandpromtu, parejaas kastes vienkarshi nokaraas. Arii tai kastei kur tiku pie promta izejot araaa un meginot pieslegties par jaunu nekas nenotike 😐 un endrju, taas dators toch nebija 20minutes tikai ieslegts bet vairakas stundas, nezinu kur tu to ravi.

    Atbildēt
  7. Gvid0

    man shis skaneriits izdomaaja ka 98 windows arii ir ievainojams
    bet nu tikai viens 98 no kaadiem desmit
    laikam paareejie salaapiiti 🙂

    Atbildēt
  8. grr

    es gribeetu zinaat kaada hrena peec coolynx ir uznjemies pestiitaaj armijas slogu, briidinaat windows lietotaajus par bistamo caurumu. tagad visi leimes liks patchus un neko nevareshu padariit 😛

    Atbildēt
  9. flipo

    Nu jaa izklausaas ka Stroms nesaprot vispaar par ko tiek runaats rakstaa.. nu pohuj. Ja jau vinjsh domaa ka tas nekas biistams nav, tad varbuut nevag aizmirst nemaz tik taalaa pagaatnee uzcepto m$sql taarpu kas noseedinaaja visas pasaules netu uz tik vecu bugu, ka sen jau visiem vajadzeeja vinju aizlaapiit. Arii sho bagu varees ljoti ilgi lietot, un nebriiniishos ka arii peec gadiem 2viem buus chupa ar kasteem kur shis bags bebuus nopachots. Labs piemeers ir IIS (nesen vel te podaa bija iemests, ka krievelji uberhack0rzi uzlauzushi bij vienu vebinju) kad respektablaas valsts iestaadees, kur glabaajas slepena info, ir panjemama priekshaa uz veciem IIS bugiem. Prieksh windows katrs bugs ir ljoti biistams, jo to lieto cilveekie kam nav sajeegas ko vinji lieto.
    Nevajag aizmirst ka arii firewallus var apiet un portus vari veert vai neveert, tas var arii nepaliidzeet!
    Pats veel neesmu papeetijis sho bagu laika truukuma deelj, bet nu jau tagad nojaushu cik daudz komjus var (*)&*()&(.. 🙂
    too endrju, ja jau ir porti valjaa, exploits shancee, tad kaadas probzas ir rebootot kasti ar tik labi zinaamo smbdie?

    Atbildēt
  10. Djuke

    nu man reiz bija uzlikta iespeeja piekonekteeties pie vienas ip izmantojot 135-139 portu. normaali… vajaga tik salikt ruljus muurim lai shaadus jokus atljauj tikai uz vienu ip adresi (drosho)

    Atbildēt
  11. flipo

    Veelreiz atkaartoju, ka ja maak tad var arii visus linux ugunsvaaljus apiet.. atceros ka kaadu laiku atpakalj veel viens cilveeks X taadaa veidaa pasmagi cieta.

    Atbildēt
  12. endrju

    Nikns: Iemācies lasīt varbūt? Es teicu, ka nevienmēr. Bet principā, ja grib 100% rezultātu, tad pirmajās 20 minūtēs tas exploits ar pareiz OS (targetā) jāpalaiž.
    flipo: Nafig tur kādu SMBdie, ja var to pašu DCOM? Ja cilvēkam izlēks gļuks un neies ne tīkls, ne viņa mīļais Wordiņš, tad viņš vienalga restartēs.

    Atbildēt
  13. endrju

    grr: Pēc datora pārrestartēšanas varēsi mēģināt vēlreiz. Vienkārši – cik reizes Tu piespiedīsi savu upuri resartēties, kamēr uzminēsi kas viņam ir. Labāk izmanto nmap/xprobe2, utt.

    Atbildēt
  14. noisex

    2 endrju: OS vari nochekot pavisam cita celjaa, ar kuru palidzibu nosaki upura datora NT mashinas buildu -ihmo zini buildu, zini precizi, kas par OS. PAr megjinajumu skaitu attiecigaja laika spridii jau ir cits jautajums, protams vel ir atkarigs vai kompis, kas tiks hackot atrodas NATota DMZ zonaa vai tieshaa konekta uz arejo netu 🙂

    Atbildēt
  15. leeds

    dažs labs jau sāk atgādināt juristu, kas dzīvo priekš tā, lai atrastu caurumu likumā.
    linuxistiem – kad sistēma paliks pietiekami plaši izmantota, tad arī tai tiks pievērsta uzmanība un lauzta. pagaidām lietojiet un priecājieties, lai gan kas to lai zina.

    Atbildēt
  16. broadcast255

    viss pahaa ljoti jauki, tik jaauzmin ir taas servispakas ar pirmo. attieciigi ielienot nomainiit paroli var, pielikt useri var, tiesa lai admin grupaa jameejo iebaaztu vajag uzka4aat softinju mazu konsoles. secinaajums – buus podi 🙂

    Atbildēt
  17. drformat

    BTW par teemu. Pilniigi piekriitu, ka shiis security lietas ir svariigas uznjeemumu, organizaaciju u.t.t. biznesaa. Visaa visumaa respekteeju Storma teikto, galu galaa stuura maajaa straadaajis :), tomeer viens citaats man likaas janciigs:
    >Vissliktaakajaa situaacijaa gan ir parastais home useris kas neko daudz vairaak >par Word, Excel, Outllok Express un Internet Explorer nejeedz. Shaadam userim >pat i praataa neienaaks ka tikko uzinstaleetaa un pie interneta piesleegtaa darba >stacija bez kvalificeetas piestraadaashanas ir potenciaala probleema.
    Ja tas juuzeris nejeedz vairaak par word un exel, tad NAFIG vinjam buutu jaauztraucaas par super-puper security ? Par kaadu probleemu te var iet runa ?
    Paskatiijos pats uz savu MAAJAS kompi. Un ko es redzu – 10 shaares, atveertu portu kaudze. Nu un kas par to ? Vajag kaadam kaut ko no mana MAAJAS datora, dieva deelj, ja ir tik gudrs lai kachaa nost manas filmas, Pamelas Andersones pornokatalogu vai warezu. Sanaaca nonest ? Nu i nafig, buus uz cietnja vietas vairaak, elpot briivaak. Nonesa svariigu info – iisti viiri bakupus netaisa – pashi vainiigi :)))))
    Par organizaaciju security, protams, ir savaadaak. Joprojaam paskaneejot Latvijas netu var atrast vairaak vai mazaak briivi pieejams shaares ar nosaukumiem Gramatvediba, Ligumi,Algas,Klientu informacija. Mazaak briivi saku taapeec, ka Windows sekuritaate ir diezgan vnk apejama,pat izmantojot tikai tiiklaa saseenjotus exploitus. Izmeegjinaats 🙂 Nu bet ko padariisi – MS==MS un ja Linux darbastacijas buutu tikpat populaaras, tad arii vinjaa security caurumu buutu pulka vairaak :))). Pat stingri apshaubu vai vinjsh buutu droshaaks par tiem pashiem MS osiem, taa teikt panjemtu uz masu (miljoniem jaunizcepto hakeriishu mociitu vinju taapat kaa tagad ar windozi daraas).
    Joprojaam briinos par to, kaa MS vareeja atstaat vienu pat man zinaamu IIS bagu, kas buutiibaa ir viennoziimiigi critical un dod iespeeju tikt IIS aptuveni 4-6 stundu laika, pie tam viecot liidz idiotismam vnk haku (bags saistiits ar C++ valodas, kameejaa MS rauj savu softu, iipatniibaam, maybe sen jau izlabots, kopsh paargaju uz apachiem man tas neliekas vairs pietiekami svariigs iemesls lai teereetu savu daargo laiku zinaatniski-peetnieciskajam darbam).

    Atbildēt
  18. [cx]

    kada jega no shitaa DComExpl_UnixWin32.zip
    ja tapat janhem ir NetCat
    uzreiz konektee ar netcat userim klat ieprieksh noskaneejot ar retinas scanneri un aidaa…

    Atbildēt
  19. Storms

    Flipo: Nau neuzlauzhamu sisteemu, ja jau par to saakam runaat. Pret reaalajiem hakeriem aizsargaaties praktiski nav iespeejams, ir iespeejams tikai sarezhgjiit tiem dziivi, bet taalaak visu izshkjirs cik liela ir hakera pacietiiba un nepiecieshamiiba.
    A parastie “c00l haxors” kas atradushi tiiklaa pergu ar vaardinju “exploit” nosaukumaa, kas dara kautko par ko pat shis “haxor” pat neko nejeedz, pilniigi pietiek ar caurumu aizlaapiishanu un elementaaraako droshiibas prasiibu ieveeroshanu.
    drformat: Yep, piekriitu tev par tiem maajas lietotaajiem. Zinu pat dazhus teelus kuriem maajaas uz cietnja glabaajas diezgan interesanti DOC, bet visa mana skaidroshana par droshiibu bija kaa pret mietu. Atbilde vienkaarshi fantastiska – “A nafig man to?!”. Vieniigi viens no tiem peec ilgaam paardomaam atteicaas no interneta maajaas vispaar. Taapat ir bijushi gadiijumi kad pazinjas man zvana un luudzas lai savedu vinju maajas kompi kaartiibaa taa lai kaiminju puishelis vairs nevareetu chakareet vinja kompi un netraucee pa vakariem straadaat.
    A backup maajas kompim jau ir nonsenss. Pat dazhi labi serveru iipashnieki/admini neuzskata backupu par tik svariigu lietu lai tajaa ieguldiitu kaut santiimu. Vienkaarshaak ir crash gadiijumaa atlaist adminu no darba vai kaadam priekshniekam apgriezt darba algu.

    Atbildēt
  20. Storms

    Picaroon: Pilniigi iespeejams. Savaa komentaaraa vadiijos peec Windows XP Professional. Citaas OS versijaas iespeejams ka buus nedaudz savaadaak. Vareetu pat buut ka vecajaas OS tipa Win9x/ME to pat nevar atsleegt.

    Atbildēt

Atbildēt uz komentāru Storms Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *