|
Buchstäblich wenige Tage vor Redaktionsschluss wurde Metasploit übernommen
Ein neues Modul, von dem wir einfach nicht umhin konnten, Ihnen davon zu erzählen. Dank an
Mit dem neuen getsystem-Befehl ist es jetzt möglich, auf ein kompromittiertes System zuzugreifen
von der Benutzerebene auf ring0 und erhält NT AUTHORITY\SYSTEM-Rechte! Und das - in jedem Fall
Versionen von Windows.
Am 19. Januar 2010 wurde eine 0-Tage-Sicherheitslücke öffentlich, die es ermöglichte
Erhöhung von Berechtigungen in jeder Windows-Version, beginnend mit NT 3.1, veröffentlicht in
im Jahr 1993 und endete mit der neumodischen „Sieben“. Auf Exploit-db.com von Hacker Tavis
Ormandy veröffentlichte sowohl die Quellen des KiTrap0d-Exploits als auch die kompilierte Version
binär, gebrauchsfertig. Jeder kann den Original-Exploit ausprobieren
bereit. Dazu müssen Sie lediglich vdmexploit.dll und vdmallowed.exe aus dem Archiv extrahieren.
Übertragen Sie es irgendwie auf den Computer des Opfers und führen Sie dort die Exe-Datei aus. IN
Ergebnis, unabhängig davon, welches Benutzerkonto das hat
Beim Start erscheint eine Konsole mit Systembenutzerrechten, also NT
AUTORITÄT\SYSTEM. Um dies zu überprüfen, können Sie Sploit auf Ihrem Computer ausführen.
sich zuvor als regulärer Benutzer am System angemeldet zu haben. Nach dem Start
Sploit öffnet ein neues cmd.exe-Fenster mit maximalen Berechtigungen. Was bringt das? Stellen Sie sich eine Situation vor, in der ein Exploit in eine Anwendung eindringt und
bekommt eine Muschel auf entfernter Computer. Lassen Sie dies ein Sammelpunkt für das Internet sein
Explorer – in diesem Fall erhält der Angreifer mit den entsprechenden Rechten Zugriff auf das System
der Benutzer, unter dessen Konto der Browser gestartet wurde. Ich widerspreche nicht, sehr
Oft handelt es sich hierbei um ein Konto mit Administratorrechten (der Benutzer ist schuld), aber
wenn nicht? Hier können Sie KiTrap0d verwenden, um Ihre Berechtigungen zu erweitern
zu NT AUTHORITY\SYSTEM! Darüber hinaus auch diejenigen Benutzer, die Mitglieder der Gruppe sind
Administrator, kann auf bestimmte Bereiche des Systems nicht zugreifen, z. B.
Lesen von Benutzerpasswort-Hashes (mehr dazu weiter unten). Und das NT-Systemkonto -
Vielleicht! Trotz alledem gab es zum Zeitpunkt der Veröffentlichung des Artikels keinen einzigen Patch von
Microsoft hat keinen Fix für die Sicherheitslücke veröffentlicht.
Übernahme des Betriebssystems
Wir werden den ursprünglichen Exploit nicht in Aktion demonstrieren, da 25
Im Januar wurde Metasploit ein neues Skript hinzugefügt, mit dem Sie es verwenden können
KiTrap0d ist noch komfortabler geworden. Die Option war ursprünglich in den Moduldatenbanken enthalten
instabil und funktionierte nicht immer, aber es verging nicht einmal ein halber Tag, bis alle Fehler auftauchten
eliminiert. Jetzt wird das Modul zusammen mit allen anderen Updates heruntergeladen,
Um es zu installieren, wählen Sie einfach den Menüpunkt „Metasploit-Update“.
Nachdem Sie nun Zugriff auf das Remote-System haben, können Sie „run kitrap0d“ eingeben und mitbringen
wird in Aktion treten. „Aber da es so einen Trinkrausch gibt, lasst uns diese Angelegenheit umsetzen
ein besonderes Team“, dachten sich die Metasploit-Entwickler. Als Ergebnis
Dies ist ein wunderbarer Befehl zum „Erhöhen von Privilegien“, auf den über zugegriffen werden kann
meterpreter-Erweiterung – es gefällt uns wirklich :).
Wir haben also Zugriff auf das Remote-System (anschauliches Beispiel).
Die Operation ist im Artikel „Operation Aurora“ beschrieben und wir befinden uns in der Konsole
Metasploit. Mal sehen, wie es uns mit den Rechten ergeht:
meterpreter > getuid
Ja, regelmäßiger Benutzer. Vielleicht ist er sogar Teil der Gruppe
Administratoren, aber das ist uns egal. Wir verbinden das Modul, in dem es implementiert ist
Geben Sie den für uns interessanten getsystem-Befehl ein und prüfen Sie, ob er geladen wurde, indem Sie ihn anzeigen
Hilfebildschirm:
meterpreter > priv. verwenden
Erweiterungsprivileg wird geladen...erfolgreich.
meterpreter > getsystem -h
Verwendung: getsystem
Versuchen Sie, Ihre Berechtigung auf die eines lokalen Systems zu erhöhen.
OPTIONEN:
H-Hilfebanner.
-t Die zu verwendende Technik. (Standard ist „0“).
0: Alle Techniken verfügbar
1: Dienst – Named Pipe-Identitätswechsel (im Speicher/Administrator)
2: Dienst – Named Pipe-Identitätswechsel (Dropper/Admin)
3: Dienst – Token-Duplizierung (im Speicher/Administrator)
4: Exploit – KiTrap0D (im Speicher/Benutzer)
Wie Sie sehen, implementiert die KiTrap0D-Zusammenführung nur einen Teil der Funktionalität des Befehls.
Wenn Sie es geschafft haben, eine Shell mit einem Benutzer zu ergattern, der bereits über Rechte verfügt
Administrator, um ihn dann auf die NT AUTHORITY\SYSTEM-Ebene anzuheben, die Sie verwenden können
drei weitere Techniken (mit der Taste -t können Sie die gewünschte auswählen). Wie auch immer, ohne Angabe
Überhaupt keine Parameter, wir werden dem Metasploit mitteilen, was er verwenden kann
irgendeiner der Ansätze. Einschließlich KiTrap0D, das unsere Privilegien auf das Level erhöht
„Das System“, egal welche Rechte wir aktuell haben.
meterpreter > getsystem
...System erhalten (über Technik 4).
Ja, wir haben eine Nachricht über eine erfolgreiche Privilegienerhöhung und einen Angriff erhalten
Es wurde KiTrap0D verwendet – offenbar hat es Priorität. Sind wir wirklich
Rose im System? Schauen wir uns unsere aktuelle UID (Benutzerkennung) an:
meterpreter > getuid
Essen! Nur ein Befehl in der Metasploit-Konsole und NT AUTHORITY\SYSTEM-Rechte
uns in deiner Tasche. Darüber hinaus ist grundsätzlich alles möglich. Ich möchte Sie daran erinnern, keinen einzigen
Zum Zeitpunkt der Veröffentlichung des Magazins gab es keinen Patch von Microsoft.
Passwörter löschen
Da Sie bereits Zugriff darauf haben Systemkonto, dann müssen wir daraus extrahieren
etwas Nützliches. Metasploit hat einen wunderbaren Hashdump-Befehl –
eine erweiterte Version des bekannten Dienstprogramms pwdump. Darüber hinaus im letzten
Die Metasploit-Version enthält eine überarbeitete Version des verwendeten Skripts
ein modernisiertes Prinzip zum Extrahieren von LANMAN/NTLM-Hashes und wird noch nicht erkannt
Antivirenprogramme. Aber das ist nicht der Punkt. Es ist wichtig, den Hashdump-Befehl auszuführen
NT AUTHORITY\SYSTEM-Rechte sind erforderlich. Andernfalls gibt das Programm einen Fehler aus
„[-] priv_passwd_get_sam_hashes: Vorgang fehlgeschlagen: 87“. Dies geschieht, weil
dass LANMAN/NTLM-Hashes von Benutzerkennwörtern in speziellen Registrierungszweigen gespeichert werden
HKEY_LOCAL_MACHINE\SAM und HKEY_LOCAL_MACHINE\SECURITY, auf die nicht einmal zugegriffen werden kann
Administratoren. Sie können nur mit Systemkontoprivilegien gelesen werden.
Im Allgemeinen verwenden Sie dazu „exploit“ und dann den Befehl „hashdump“.
Das lokale Extrahieren des Hashs aus der Registrierung ist überhaupt nicht erforderlich. Aber wenn so
Die Gelegenheit ist da, warum nicht?
meterpreter > getuid
Server-Benutzername: NT AUTHORITY\SYSTEM
Meterpreter > Hashdump ausführen
[*] Den Bootschlüssel erhalten...
[*] Berechnung des hboot-Schlüssels mit SYSKEY 3ed7[...]
[*] Erhalten der Benutzerliste und der Schlüssel ...
[*] Benutzerschlüssel werden entschlüsselt...
[*] Passwort-Hashes werden ausgegeben...
Administrator:500:aad3b435b51404eeaad3b435b51404ee:...
Gast:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...
Die Hashes wurden empfangen. Es bleibt nur noch, sie zum Beispiel einem der rohen Gewalttäter zu verfüttern.
l0phtcrack.
Wie kann ich meine Privilegien zurückerhalten?
Eine lustige Situation ereignete sich, als ich versuchte, die Rechte wieder in den Normalzustand zu versetzen
Benutzer zurück. Der rev2self-Befehl, den ich gefunden habe, hat nicht funktioniert und ich habe immer noch
blieb „NT AUTHORITY\SYSTEM“: Offenbar ist es für die Arbeit mit drei ausgelegt
andere in getsystem implementierte Ansätze. Es stellte sich heraus, dass es zurückkam
Privilegien, Sie müssen das Prozess-Token „stehlen“, Laufthemen Benutzer,
was wir brauchen. Daher zeigen wir mit dem ps-Befehl alle Prozesse an und wählen daraus aus
geeignet:
Meterpreter > ps
Prozessliste
============
PID-Name Arch-Benutzerpfad
--- ---- ---- ---- ----
0
4 System x86 NT AUTHORITY\SYSTEM
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\Benutzer C:\WINDOWS\Explorer.EXE
...
Wie wir sehen können, wird explorer.exe direkt unter dem normalen Benutzer gestartet
Konto und hat PID=1560. Jetzt können Sie tatsächlich „einen Token stehlen“, indem Sie verwenden
Befehl stehlen_token. Als einziger Parameter wird ihm die PID übergeben
erforderlicher Prozess:
meterpreter > stehlen_token 1558
Gestohlenes Token mit Benutzername: WINXPSP3\Benutzer
meterpreter > getuid
Server-Benutzername: WINXPSP3\Benutzer
Dem Feld „Server-Benutzername“ nach zu urteilen, war der Vorgang erfolgreich.
Wie es funktioniert?
Abschließend lohnt es sich, über die Art der Verwundbarkeit zu sprechen, die zur Entstehung geführt hat
Split. Die Sicherheitsverletzung tritt aufgrund eines Fehlers im Systemprozessor auf
#GP-Interrupts (genannt nt!KiTrap). Aus diesem Grund mit Kernel-Privilegien
Es kann beliebiger Code ausgeführt werden. Dies geschieht, weil das System
Auf einer 32-Bit-x86-Plattform werden einige BIOS-Aufrufe fälschlicherweise überprüft
Es läuft eine 16-Bit-Anwendung. Um die Sicherheitslücke auszunutzen, wird der Exploit erstellt
16-Bit-Anwendung (%windir%\twunk_16.exe), manipuliert einige
Systemstrukturen und ruft zum Starten die Funktion NtVdmControl() auf
Windows Virtual DOS Machine (auch bekannt als NTVDM-Subsystem), das aufgrund früherer
Manipulation führt zum Aufruf des #GP-System-Interrupt-Handlers und
wann der Exploit ausgelöst wird. Dies führt übrigens zur einzigen Einschränkung
Exploit, der nur auf 32-Bit-Systemen funktioniert. In 64-Bit
Betriebssysteme verfügen einfach nicht über einen Emulator zum Ausführen von 16-Bit-Anwendungen.
Warum wurden Informationen mit einem vorgefertigten Exploit öffentlich zugänglich? Über die Verfügbarkeit
Der Autor des Exploits hat Microsoft Anfang letzten Jahres über die Sicherheitslücke informiert
erhielt sogar die Bestätigung, dass sein Bericht zur Prüfung angenommen worden sei. Nur Warenkorb
und jetzt da. In einem Jahr offizieller Patch Es gab keine Antwort vom Unternehmen und der Autor entschied
Informationen öffentlich veröffentlichen, in der Hoffnung, dass sich die Dinge schneller bewegen. Mal sehen,
Wird der Patch verfügbar sein, wenn das Magazin in den Verkauf geht :)?
So schützen Sie sich vor Exploits
Da es noch kein vollständiges Update zur Behebung der Sicherheitslücke gibt,
Sie müssen Problemumgehungen verwenden. Die zuverlässigste Option ist
Deaktivieren Sie die MSDOS- und WOWEXEC-Subsysteme, wodurch der Exploit sofort deaktiviert wird
Funktionalität, weil Die NtVdmControl()-Funktion kann nicht mehr aufgerufen werden
um das NTVDM-System zu starten. In älteren Windows-Versionen erfolgt dies über
die Registrierung, in der Sie den Zweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW finden müssen
und fügen Sie seinem Namen ein Symbol hinzu. Für moderne Betriebssysteme
Sie müssen eine Einschränkung für die Ausführung von 16-Bit-Anwendungen über festlegen
Gruppenrichtlinien. Rufen Sie dazu GPEDIT.MSC auf und gehen Sie dann zum Abschnitt
„Benutzerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Kompatibilität
Anwendungen“ und aktivieren Sie die Option „Zugriff auf 16-Bit verbieten
Anwendungen".
WWW
Beschreibung der Schwachstelle vom Autor des Exploits:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html
Problemumgehung von Microsoft:
http://support.microsoft.com/kb/979682
WARNUNG
Die Informationen werden zu Bildungszwecken präsentiert. Benutze es in
für illegale Zwecke kann eine strafrechtliche Verfolgung nach sich ziehen.
Integrierte Anmeldungen SQL Server 2005, BUILTIN\Administratoren, , NT-AUTHORITÄT\SYSTEM, sa
Unmittelbar nach der Installation von SQL Server 2005 in einem Container Anmeldungen Es erscheint eine Reihe von Logins, die automatisch erstellt werden. Höchstwahrscheinlich werden Sie sie nicht zum Verbinden von Benutzern verwenden. Es gibt jedoch Situationen, in denen es hilfreich sein kann, die integrierten Logins zu kennen (z. B. wenn Ihr Administrator-Login versehentlich blockiert wurde).
Q BUILTIN\Administratoren
(oder BUILTIN\Administratoren, abhängig von der Sprache des Betriebssystems) – der Anmeldung für diese Windows-Gruppe werden automatisch Rechte gewährt Systemadministrator SQL Server Bitte beachten Sie, dass die Gruppe automatisch in diese Gruppe fällt, wenn der Computer Teil einer Domäne ist DomainAdmins(Domänenadministratoren) und daher standardmäßig Domänenadministratoren volle Rechte auf SQL Server. Wenn diese Situation unerwünscht ist, kann dieser Login gelöscht werden. Aber auch in diesem Fall wird es für Domänenadministratoren einfach sein, auf SQL Server-Daten zuzugreifen.
Q Servername
2005MSFTEUser$ Servername$Instanzname
, Servername
2005MSSQLUser$ Servername$Instanzname
,Servername
2005SQLAgentUser$ Servername$Instanzname
- Diese drei Logins sind für Windows-Gruppen werden verwendet, um die entsprechenden Dienste mit SQL Server 2005 zu verbinden. Auf der Ebene von SQL Server 2005 müssen keine Operationen mit ihnen durchgeführt werden, da alle erforderlichen Rechte bereits gewährt sind. In seltenen Fällen müssen Sie möglicherweise Konten, die SQL Server-Dienste ausführen, zu diesen Gruppen auf Windows-Ebene hinzufügen.
Q NT-BEHÖRDE\NETZWERKDIENST
- in diesem Namen Konto Windows Server 2003 führt ASP .NET-Anwendungen aus, einschließlich Reporting Services (Windows 2000 verwendet die ASPNET). Diese Windows-Anmeldung wird zum Herstellen einer Verbindung mit SQL Server Reporting Services verwendet. Er erhält automatisch die notwendigen Rechte an den Datenbanken MAster, MSDB und auf Datenbanken, die von Reporting Services verwendet werden.
Q NT-AUTHORITÄT\SYSTEM
ist das lokale Systemkonto des Betriebssystems. Diese Anmeldung wird in Situationen angezeigt, in denen Sie während der Installation den SQL Server-Dienst so konfiguriert haben, dass er unter dem lokalen Systemkonto ausgeführt wird. Wir können sagen, dass sich SQL Server mit diesem Login selbst zugreift. Selbstverständlich verfügt dieser Login über SQL Server-Systemadministratorrechte.
Q sa
(aus SystemAdministrator) ist die einzige SQL Server-Anmeldung, die standardmäßig erstellt wird. Er verfügt über SQL Server-Systemadministratorrechte und diese Rechte können ihm nicht entzogen werden. Sie können dieses Login auch nicht löschen. Es kann jedoch umbenannt oder deaktiviert werden. Wenn SQL Server 2005 nur für die Authentifizierung konfiguriert ist unter Verwendung von Windows, dann können Sie mit diesem Login keine Verbindung zum Server herstellen.
Man muss nur ein Programm „Als Administrator ausführen“ ausführen, um im Task-Manager zu sehen, dass der Benutzer man selbst und nicht der Administrator ist. Dieses Wunder wird allein durch die Änderung des Zugriffstokens und nicht durch das Ersetzen der SID erreicht.
Zweitens, NT-AUTHORITÄT und SYSTEM sind weder Konten noch Gruppen, ungeachtet dessen, was verschiedene andere Quellen sagen (sogar innerhalb von Microsoft). Eine SID hat normalerweise einen Namen, der bei Bedarf angezeigt wird. Ein Benutzerkonto trägt seine SID als Haupt-SID zum Zugriffstoken bei, wodurch auch der von verschiedenen Dienstprogrammen angezeigte Name bestimmt wird. Das Zugriffstoken kann jedoch zusätzliche SIDs enthalten, beispielsweise für alle Gruppen, zu denen dieses Benutzerkonto gehört. Bei der Überprüfung der Berechtigungen sucht Windows nach jeder SID im Zugriffstoken, die über diese Berechtigung verfügt.
Einige bekannte Windows-SIDs werden von Windows gemeldete Namen haben, obwohl sie eigentlich keinem Konto gehören.
Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Service Control Manager verwendet wird. [...] Sein Token umfasst die SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators; diese Konten Zugriff auf die meisten Systemobjekte haben.
Im obigen Text erkennt man bereits die Verwirrung, die selbst in der Microsoft-Dokumentation hinsichtlich der System-SIDs herrscht sind nicht Genauer gesagt, weder Konten noch Gruppen – bei denen es sich lediglich um eine Reihe von Berechtigungen handelt. Diese Verwirrung erstreckt sich auch auf andere Dienstprogramme und Artikel, daher sollten alle zurückgegebenen Informationen sorgfältig geprüft werden.
Der Microsoft-Artikel „Bekannte Sicherheitskennungen in Windows-Betriebssystemen“ beschreibt alle System-SIDs, von denen ich unten einige aufführe:
Abschluss: NT-AUTHORITY\SYSTEM ist der Name einer Sicherheits-ID, die weder eine Gruppe noch ein Konto ist. Sie wird im Task-Manager als SYSTEM angezeigt, wenn es sich um die Haupt-SID eines Programms handelt. Ich würde es höchstens als „Pseudokonto“ bezeichnen.
AUFMERKSAMKEIT!!! AUFMERKSAMKEIT!!! AUFMERKSAMKEIT!!!
GEFÄHRLICHER WURM!!!Symptome: Beim Arbeiten im Netzwerk erscheint plötzlich die Meldung, dass alle Programme, die Daten speichern, beendet werden müssen, weil... nach 60 Sek. Es erfolgt ein Neustart. Diagnose: Netzwerkwurm w32.Blaster.worm. Der Wurm nutzt eine am 16. Juli gefundene Schwachstelle im RPC-DCOM-Dienst aus, der in allen Fällen vorhanden ist Betriebssysteme Windows-Familien 2000, Windows XP und Windows 2003. Bei dieser Schwachstelle handelt es sich um einen Pufferüberlauf, der durch ein ordnungsgemäß gestaltetes TCP/IP-Paket verursacht wird, das an Port 135, 139 oder 445 des angegriffenen Computers ankommt. Es ermöglicht mindestens die Durchführung eines DoS-Angriffs (DoS bedeutet „Denial of Service“ oder „Denial of Service“; in diesem Fall wird der angegriffene Computer neu gestartet) und höchstens die Ausführung eines beliebigen Codes im Speicher des angegriffenen Computers. Wenn sich der neue Wurm ausbreitet, greift er Port 135 an und startet bei Erfolg das Programm TFTP.exe, mit dem er seine ausführbare Datei auf den angegriffenen Computer herunterlädt. In diesem Fall erhält der Benutzer eine Meldung zum Stoppen des RPC-Dienstes und zum anschließenden Neustart. Nach einem Neustart startet der Wurm automatisch und beginnt, vom Computer aus zugängliche Netzwerke nach Computern mit offenem Port 135 zu durchsuchen. Wenn welche entdeckt werden, startet der Wurm einen Angriff und alles wiederholt sich von vorne. Darüber hinaus wird der Wurm, gemessen an der aktuellen Verbreitungsrate, bald den ersten Platz in der Liste der Antiviren-Unternehmen einnehmen. Medizin: Es gibt drei Möglichkeiten, sich vor dem Wurm zu schützen. Erstens bietet das Microsoft-Bulletin Links zu Patches für alle Betroffenen Windows-Versionen, wodurch die RPC-Lücke geschlossen wird (diese Patches wurden am 16. Juli veröffentlicht, daher sollten sich diejenigen, die das System regelmäßig aktualisieren, keine Sorgen machen). Zweitens kann der Wurm nicht in den Computer eindringen, wenn Port 135 durch eine Firewall geschlossen ist. Drittens hilft die Deaktivierung von DCOM als letztes Mittel (diese Vorgehensweise wird im Microsoft-Bulletin ausführlich beschrieben). Wenn Sie also noch nicht von einem Wurm angegriffen wurden, wird dringend empfohlen, schnellstmöglich einen Patch für Ihr Betriebssystem vom Microsoft-Server herunterzuladen (z. B. die Dienste zu nutzen). Windows Update) oder konfigurieren Sie die Blockierung der Ports 135, 139 und 445 in der Firewall. Wenn Ihr Computer bereits infiziert ist (und eine Meldung darüber erscheint RPC-Fehler bedeutet eindeutig, dass es infiziert ist), dann müssen Sie DCOM deaktivieren (andernfalls führt jeder weitere Angriff zu einem Neustart) und dann den Patch herunterladen und installieren. Um den Wurm zu zerstören, müssen Sie den Eintrag „windows auto update“="msblast.exe" aus dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run entfernen und dann die Datei msblast.exe suchen und löschen – das ist der Körper des Wurms. Weitere Informationen zum Verfahren zur Wurmentfernung finden Sie auf der Symantec-Website. Derzeit erkennen nicht alle Antivirenprogramme den Wurm; auf einen Schutz vor ihnen kann man erst nach der Veröffentlichung von Updates hoffen. Wenn Sie eine solche Nachricht noch nicht erhalten haben, laden Sie Patches von Uncle Bill herunter: Hier sind Links zu Medizin für NT 4.0 und 2000, 2003 Server
NT-BEHÖRDEN-/SYSTEMFEHLER,
XP-Meldung – So entfernen Sie einen Virus
Wenn Sie eine russische Version haben, ändern Sie unbedingt die Sprache, bevor Sie sie herunterladen. Ein wenig über das Virus selbst:
Gestern Abend, gegen 23:00 Uhr Moskauer Zeit, tauchten in vielen Foren Meldungen über seltsames Verhalten von Windows 2000 und Windows XP beim Zugriff auf das Netzwerk auf: Das System zeigte eine Meldung über einen RPC-Dienstfehler und die Notwendigkeit eines Neustarts an. Nach dem Neustart wiederholte sich die Meldung spätestens nach ein paar Minuten und es nahm kein Ende. Die Untersuchung ergab, dass die heute begonnene Epidemie des neuen Netzwerkwurms w32.Blaster.worm dafür verantwortlich ist. Der Wurm nutzt eine am 16. Juli entdeckte Schwachstelle im RPC-DCOM-Dienst aus, der in allen Windows-Betriebssystemen vorhanden ist 2000, Windows XP und Windows 2003-Familien. Bei dieser Schwachstelle handelt es sich um einen Pufferüberlauf, der durch ein entsprechend zusammengesetztes TCP/IP-Paket ausgelöst wird, das an Port 135, 139 oder 445 des angegriffenen Computers ankommt. Es ermöglicht mindestens die Durchführung eines DoS-Angriffs (DoS bedeutet „Denial of Service“ oder „Denial of Service“; in diesem Fall wird der angegriffene Computer neu gestartet) und höchstens die Ausführung eines beliebigen Codes im Speicher des angegriffenen Computers. Das erste, was in der Netzwerk-Community bereits vor dem Auftauchen des Wurms für Besorgnis sorgte, war das Vorhandensein eines sehr einfach zu verwendenden Exploits (ein Programm zum Ausnutzen einer Schwachstelle), das normalerweise dazu führt, dass jeder dieses Programm ausnutzen kann und beginnen, es für nichtfriedliche Zwecke zu nutzen. Allerdings waren es Blumen... Wenn sich der neue Wurm ausbreitet, greift er Port 135 an und startet bei Erfolg das Programm TFTP.exe, mit dem er seine ausführbare Datei auf den angegriffenen Computer herunterlädt. In diesem Fall erhält der Benutzer eine Meldung zum Stoppen des RPC-Dienstes und zum anschließenden Neustart. Nach einem Neustart startet der Wurm automatisch und beginnt, vom Computer aus zugängliche Netzwerke nach Computern mit offenem Port 135 zu durchsuchen. Wenn welche entdeckt werden, startet der Wurm einen Angriff und alles wiederholt sich von vorne. Darüber hinaus wird der Wurm, gemessen an der aktuellen Verbreitungsrate, bald den ersten Platz in der Liste der Antiviren-Unternehmen einnehmen. Es gibt drei Möglichkeiten, sich vor dem Wurm zu schützen.
Erstens enthält das Microsoft-Bulletin Links zu Patches für alle anfälligen Windows-Versionen, die den RPC-Fehler schließen (diese Patches wurden am 16. Juli veröffentlicht, daher sollten sich diejenigen, die ihr System regelmäßig aktualisieren, keine Sorgen machen).
Zweitens kann der Wurm nicht in den Computer eindringen, wenn Port 135 durch eine Firewall geschlossen ist.
Drittens hilft die Deaktivierung von DCOM als letztes Mittel (diese Vorgehensweise wird im Microsoft-Bulletin ausführlich beschrieben). Wenn Sie also noch nicht von einem Wurm angegriffen wurden, wird dringend empfohlen, schnellstmöglich einen Patch für Ihr Betriebssystem vom Microsoft-Server herunterzuladen (z. B. verwenden Sie Windows-Dienste Update) oder konfigurieren Sie die Blockierung der Ports 135, 139 und 445 in der Firewall.
Wenn Ihr Computer bereits infiziert ist (und das Erscheinen einer RPC-Fehlermeldung eindeutig bedeutet, dass er infiziert ist), müssen Sie DCOM deaktivieren (andernfalls führt jeder weitere Angriff zu einem Neustart) und dann den Patch herunterladen und installieren.
Um den Wurm zu zerstören, müssen Sie ihn aus dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entfernen
entVersion\Führen Sie den Eintrag „windows auto update“="msblast.exe" aus, suchen und löschen Sie dann die Datei msblast.exe – dies ist der Körper des Wurms. Weitere Informationen zum Verfahren zur Wurmentfernung finden Sie auf der Symantec-Website. Derzeit erkennen nicht alle Antivirenprogramme den Wurm; auf einen Schutz vor ihnen kann man erst nach der Veröffentlichung von Updates hoffen.
Gepostet von AHTOH 17.08.2003 um 23:29:
GEFÄHRLICHER WURM! NT-Autoritäts-/Systemfehler
__________________
Ich tue Gutes, ich tue Gutes ...
|
