|
Literalmente, unos días antes de que el número saliera a imprenta, Metasploit adquirió
un nuevo módulo del que simplemente no pudimos evitar hablarle. Gracias a
nuevo comando getsystem, en un sistema comprometido ahora es posible ir
desde el nivel de usuario hasta ring0, obteniendo derechos NT AUTHORITY\SYSTEM. Y esto - en cualquier
versiones de Windows.
El 19 de enero de 2010, se hizo pública una vulnerabilidad de día 0, lo que permitía
elevación de privilegios en cualquier versión de Windows, a partir de NT 3.1, lanzado en
en 1993, y terminando con el novedoso "siete". En exploit-db.com por el hacker Tavis
Ormandy publicó tanto las fuentes del exploit KiTrap0d como la versión compilada
binario, listo para usar. Cualquiera puede probar el exploit original.
deseoso. Para hacer esto, solo necesita extraer vdmexploit.dll y vdmallowed.exe del archivo,
transfiéralo de alguna manera a la máquina víctima y ejecute el archivo exe allí. EN
resultado, independientemente de qué cuenta de usuario
Al iniciar, aparecerá una consola con privilegios de usuario del sistema, es decir, NT.
AUTORIDAD\SISTEMA. Para comprobarlo, puede ejecutar Sploit en su máquina,
haber iniciado sesión previamente en el sistema como usuario habitual. Después del lanzamiento
Sploit abrirá una nueva ventana de cmd.exe con privilegios máximos. ¿Qué aporta esto? Imagine una situación en la que el exploit atraviesa alguna aplicación y
se pone un caparazón computadora remota. Que esto sea un punto de encuentro para Internet.
Explorador: en este caso, el atacante tendrá acceso al sistema con los derechos
el usuario bajo cuya cuenta se inició el navegador. No discuto, muy
a menudo será una cuenta con derechos de administrador (el usuario tiene la culpa), pero
¿si no? Aquí es donde puedes usar KiTrap0d para aumentar tus privilegios
a AUTORIDAD\SISTEMA NT! Además, incluso aquellos usuarios que son miembros del grupo
administrador, no puede acceder a ciertas áreas del sistema, por ejemplo,
leer hash de contraseña de usuario (más sobre esto a continuación). Y la cuenta del sistema NT...
¡Tal vez! Con todo esto, en el momento de la publicación del artículo no había ni un solo parche de
Microsoft no ha publicado una solución para la vulnerabilidad.
Adquisición del sistema operativo
No demostraremos el exploit original en acción porque 25
En enero se agregó un nuevo script a Metasploit, gracias al cual puedes usar
KiTrap0d se ha vuelto aún más conveniente. La opción inicialmente incluida en las bases de datos del módulo era
inestable y no siempre funcionó, pero no pasó ni medio día antes de que aparecieran todos los errores
eliminado. Ahora el módulo se descarga junto con todas las demás actualizaciones,
así que para instalarlo, simplemente seleccione el elemento del menú "Actualización de Metasploit".
Ahora, teniendo acceso al sistema remoto, puede escribir "ejecutar kitrap0d" y traer
se unirá a la acción. "Pero ya que hay tanta juerga de bebida, implementemos este asunto".
un equipo especial”, pensaron los desarrolladores de Metasploit.
Este es un maravilloso comando para "elevar privilegios", accesible a través de
extensión meterpreter: nos gusta mucho :).
Entonces, tenemos acceso al sistema remoto (ejemplo ilustrativo
La operación se da en el artículo "Operación Aurora") y estamos en la consola.
metasploit. Veamos cómo nos va con los derechos:
meterpreter > getuid
Sí, usuario regular. Tal vez incluso sea parte del grupo.
administradores, pero eso no nos importa. Conectamos el módulo en el que está implementado.
el comando getsystem que nos interesa y verifique si se ha cargado mostrando
pantalla de ayuda:
meterpreter> usar priv
Cargando extensión privada...éxito.
meterpreter > getsystem -h
Uso: getsystem
Intente elevar su privilegio al del sistema local.
OPCIONES:
H Banner de ayuda.
-t La técnica a utilizar. (El valor predeterminado es "0").
0: Todas las técnicas disponibles
1: Servicio: suplantación de canalización con nombre (en memoria/administrador)
2: Servicio - Suplantación de canalización con nombre (Gotero/Administrador)
3: Servicio - Duplicación de tokens (en memoria/administrador)
4: Explotación - KiTrap0D (en memoria/usuario)
Como puede ver, la combinación KiTrap0D implementa solo una parte de la funcionalidad del comando.
Si lograste tomar un shell con un usuario que ya tiene derechos
administrador, luego para elevar al nivel NT AUTHORITY\SYSTEM puede usar
Otras tres técnicas (la tecla -t le permite seleccionar la que necesita). De todos modos, sin especificar
sin ningún parámetro, le diremos al metasploit qué puede usar
cualquiera de los enfoques. Incluyendo KiTrap0D, que aumentará nuestros privilegios al nivel
"El sistema", sin importar los derechos que tengamos actualmente.
meterpreter > getsystem
...sistema conseguido (a través de la técnica 4).
Sí, recibimos un mensaje sobre una elevación de privilegios exitosa y sobre un ataque.
Se utilizó KiTrap0D; aparentemente tiene prioridad. ¿Estamos realmente
subió en el sistema? Comprobemos nuestro UID (identificador de usuario) actual:
meterpreter > getuid
¡Comer! Solo un comando en la consola de metasploit y derechos NT AUTHORITY\SYSTEM
Nosotros en tu bolsillo. Además, en términos generales, todo es posible. Déjame recordarte que ni uno solo
No había ningún parche de Microsoft en el momento en que se publicó la revista.
Volcar contraseñas
Como ya tienes acceso a cuenta del sistema, entonces necesitamos extraer de esto
algo útil. Metasploit tiene un maravilloso comando hashdump:
una versión más avanzada de la conocida utilidad pwdump. Es más, en los últimos
La versión de metasploit incluye una versión revisada del script que utiliza
un principio modernizado para extraer hashes LANMAN/NTLM y aún no se ha detectado
antivirus. Pero ese no es el punto. Es importante que para ejecutar el comando hashdump
Se requieren derechos NT AUTHORITY\SYSTEM. De lo contrario, el programa arrojará un error.
"[-] priv_passwd_get_sam_hashes: Operación fallida: 87". Esto sucede porque
que los hashes LANMAN/NTLM de las contraseñas de los usuarios se almacenan en ramas de registro especiales
HKEY_LOCAL_MACHINE\SAM y HKEY_LOCAL_MACHINE\SECURITY, a los que no se puede acceder ni siquiera
administradores. Sólo se pueden leer con privilegios de cuenta del sistema.
En términos generales, use exploit y luego el comando hashdump para
No es necesario extraer localmente el hash del registro. Pero si es así
La oportunidad está ahí, ¿por qué no?
meterpreter > getuid
Nombre de usuario del servidor: NT AUTHORITY\SYSTEM
meterpreter > ejecutar hashdump
[*] Obteniendo la clave de arranque...
[*] Calculando la clave hboot usando SYSKEY 3ed7[...]
[*] Obteniendo la lista de usuarios y claves...
[*] Descifrando claves de usuario...
[*] Volviendo hashes de contraseña...
Administrador:500:aad3b435b51404eeaad3b435b51404ee:...
Invitado:501:aad3b435b51404eeaad3b435b51404ee:...
Asistente de ayuda:1000:ce909bd50f46021bf4aa40680422f646:...
Se han recibido los hashes. Todo lo que queda es dárselos a uno de los fuerzas brutas, por ejemplo,
l0phtcrack.
¿Cómo puedo recuperar mis privilegios?
Ocurrió una situación divertida cuando intenté devolver los derechos a la normalidad.
usuario de vuelta. El comando rev2self que encontré no funcionó y todavía
permaneció "NT AUTHORITY\SYSTEM": aparentemente, está diseñado para funcionar con tres
Otros enfoques implementados en getsystem. resultó volver
privilegios, necesita "robar" el token de proceso, temas en ejecución usuario,
que necesitamos. Por lo tanto, mostramos todos los procesos con el comando ps y seleccionamos entre ellos.
adecuado:
meterpreter > ps
Lista de procesos
============
Nombre PID Ruta de usuario Arch
--- ---- ---- ---- ----
0
4 Sistema x86 NT AUTORIDAD\SISTEMA
370 smss.exe x86 NT AUTHORITY\SYSTEM\SystemRoot\System32\smss.exe
...
1558 explorer.exe x86 WINXPSP3\usuario C:\WINDOWS\Explorer.EXE
...
Como podemos ver, explorer.exe se inicia justo debajo del usuario normal.
cuenta y tiene PID=1560. Ahora, de hecho, puedes “robar una ficha” usando
comando robar_token. El PID se le pasa como único parámetro.
proceso requerido:
meterpreter > robar_token 1558
Token robado con nombre de usuario: WINXPSP3\usuario
meterpreter > getuid
Nombre de usuario del servidor: WINXPSP3\usuario
A juzgar por el campo "Nombre de usuario del servidor", la operación fue exitosa.
¿Cómo funciona?
Finalmente, vale la pena hablar de la naturaleza de la vulnerabilidad que llevó al surgimiento
Dividir. La brecha de seguridad se produce por un error en el procesador del sistema
#GP interrumpe (que se llama nt!KiTrap). Por eso con privilegios del kernel.
Se puede ejecutar código arbitrario. Esto sucede porque el sistema
comprueba incorrectamente algunas llamadas de BIOS en una plataforma x86 de 32 bits
Se está ejecutando una aplicación de 16 bits. Para explotar la vulnerabilidad, el exploit crea
Aplicación de 16 bits (%windir%\twunk_16.exe), manipula algunos
estructuras del sistema y llama a la función NtVdmControl() para iniciar
Windows Virtual DOS Machine (también conocido como subsistema NTVDM), que como resultado de anteriores
La manipulación conduce a llamar al controlador de interrupciones del sistema #GP y
cuando se activa el exploit. Por cierto, esto lleva a la única limitación.
exploit que sólo funciona en sistemas de 32 bits. En 64 bits
Los sistemas operativos simplemente no tienen un emulador para ejecutar aplicaciones de 16 bits.
¿Por qué se hizo pública la información con un exploit ya preparado? Acerca de la disponibilidad
El autor del exploit informó a Microsoft de la vulnerabilidad a principios del año pasado y
Incluso recibió confirmación de que su informe había sido aceptado para su consideración. Solo carro
y ahora ahí. En un año parche oficial no hubo respuesta de la empresa y el autor decidió
publicar información públicamente, con la esperanza de que las cosas avancen más rápido. Vamos a ver,
¿Estará disponible el parche cuando la revista salga a la venta :)?
Cómo protegerse de las hazañas
Dado que aún no existe una actualización completa para resolver la vulnerabilidad,
Tendrás que utilizar soluciones alternativas. La opción más confiable es
deshabilite los subsistemas MSDOS y WOWEXEC, lo que privará inmediatamente al exploit
funcionalidad, porque ya no podrá llamar a la función NtVdmControl()
para iniciar el sistema NTVDM. En versiones anteriores de Windows esto se hace mediante
el registro en el que necesita encontrar la rama HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
y agregue algún símbolo a su nombre. Para sistemas operativos modernos
debe establecer una restricción en la ejecución de aplicaciones de 16 bits a través de
políticas de grupo. Para hacer esto, llame a GPEDIT.MSC, luego vaya a la sección
"Configuración de usuario/Plantillas administrativas/Componentes de Windows/Compatibilidad
aplicaciones" y active la opción "Prohibir el acceso a archivos de 16 bits
aplicaciones".
WWW
Descripción de la vulnerabilidad del autor del exploit:
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0346.html
Solución alternativa de Microsoft:
http://support.microsoft.com/kb/979682
ADVERTENCIA
La información se presenta con fines educativos. Utilizándolo en
con fines ilegales puede dar lugar a responsabilidad penal.
Inicios de sesión integrados servidor SQL 2005, BUILTIN\Administradores, , AUTORIDAD NT\SISTEMA, sa
Inmediatamente después de instalar SQL Server 2005 en un contenedor Inicios de sesión Aparece un conjunto de inicios de sesión que se crean automáticamente. Lo más probable es que no los utilice para conectar usuarios. Sin embargo, hay situaciones en las que conocer los inicios de sesión integrados puede resultar útil (por ejemplo, si su inicio de sesión administrativo se bloquea accidentalmente).
q BUILTIN\Administradores
(o BUILTIN\Administradores, dependiendo del idioma del sistema operativo): al iniciar sesión en este grupo de Windows se otorgan derechos automáticamente administrador de sistema servidor SQL Tenga en cuenta que si la computadora es parte de un dominio, el grupo automáticamente cae en este grupo. DominioAdministradores(Administradores de dominio) y, por lo tanto, los administradores de dominio de forma predeterminada tienen plenos derechos en el servidor SQL. Si esta situación no es deseable, entonces este inicio de sesión se puede eliminar. Pero incluso en este caso, será fácil para los administradores de dominio obtener acceso a los datos de SQL Server.
q Nombre del servidor
2005MSFTEUusuario$ Nombre del servidor$Nombre de instancia
, Nombre del servidor
2005MSSQLUsuario$ Nombre del servidor$Nombre de instancia
,Nombre del servidor
2005SQLAgentUsuario$ Nombre del servidor$Nombre de instancia
- estos tres inicios de sesión son para Grupos de Windows se utilizan para conectar los servicios correspondientes a SQL Server 2005. En el nivel de SQL Server 2005, no es necesario realizar ninguna operación con ellos, ya que todos los derechos necesarios ya están otorgados. En raras ocasiones, es posible que necesite agregar cuentas que ejecuten servicios de SQL Server a estos grupos en el nivel de Windows.
q AUTORIDAD NT\SERVICIO DE RED
- en nombre de esto cuenta Windows Server 2003 ejecuta aplicaciones ASP .NET, incluido Reporting Services (Windows 2000 usa el ASPNET). Este inicio de sesión de Windows se utiliza para conectarse a SQL Server Reporting Services. Se le conceden automáticamente los derechos necesarios sobre las bases de datos. metroaster, metrosdb y a las bases de datos utilizadas por Reporting Services.
q AUTORIDAD NT\SISTEMA
es la cuenta del sistema local del sistema operativo. Este inicio de sesión aparece en situaciones en las que durante la instalación configuró el servicio SQL Server para que se ejecute en la cuenta del sistema local. Podemos decir que con este login SQL Server accede a sí mismo. Por supuesto, este inicio de sesión tiene derechos de administrador del sistema SQL Server.
q sa
(de SistemaAdministrador) es el único inicio de sesión de tipo SQL Server que se crea de forma predeterminada. Tiene derechos de administrador del sistema SQL Server y estos derechos no se le pueden quitar. Tampoco podrás eliminar este inicio de sesión. Pero se le puede cambiar el nombre o desactivarlo. Si SQL Server 2005 está configurado para autenticar únicamente usando windows, entonces no podrá utilizar este inicio de sesión para conectarse al servidor.
Sólo hay que "Ejecutar como administrador" un programa para ver en el Administrador de Tareas que su usuario es uno mismo y no Administrador, y este milagro se consigue simplemente modificando el token de acceso, no sustituyendo el SID.
Segundo, AUTORIDAD NT y SISTEMA No son cuentas ni grupos, a pesar de lo que dicen otras fuentes (incluso dentro de Microsoft). Un SID normalmente tiene un nombre que se muestra cuando es necesario. Una cuenta de usuario aportará su SID como SID principal al token de acceso, que también determinará el nombre que muestran varias utilidades. Pero el token de acceso puede contener SID adicionales, por ejemplo para todos los grupos a los que pertenece esa cuenta de usuario. Al verificar los permisos, Windows buscará cualquier SID en el token de acceso que tenga ese permiso.
Algunos SID de Windows conocidos tendrán nombres informados por Windows, aunque en realidad no pertenecen a ninguna cuenta.
La cuenta LocalSystem es una cuenta local predefinida utilizada por el administrador de control de servicios. [...] Su token incluye los SID NT AUTHORITY\SYSTEM y BUILTIN\Administrators; estas cuentas tener acceso a la mayoría de los objetos del sistema.
Ya se puede ver en el texto anterior la confusión que reina incluso en la documentación de Microsoft en cuanto a los SID del sistema, que no son exactamente cuentas ni grupos, que son solo un conjunto de permisos. Esta confusión se extiende aún más a otras utilidades y artículos, por lo que cualquier información devuelta debe examinarse cuidadosamente.
El artículo de Microsoft Identificadores de seguridad conocidos en sistemas operativos Windows detalla todos los SID del sistema, algunos de los cuales incluyo a continuación:
Conclusión: NT-AUTHORITY\SYSTEM es el nombre de un ID de seguridad, que no es ni un grupo ni una cuenta. Se muestra en el Administrador de tareas como SISTEMA cuando es el SID principal de un programa. Lo más que yo llamaría es "una pseudocuenta".
¡¡¡ATENCIÓN!!! ¡¡¡ATENCIÓN!!! ¡¡¡ATENCIÓN!!!
¡¡¡GUSANO PELIGROSO!!!Síntomas: Mientras trabaja en la red, de repente aparece un mensaje informándole que es necesario cerrar todos los programas que guardan datos porque... después de 60 seg. se producirá un reinicio. Diagnóstico: Gusano de red w32.Blaster.worm El gusano aprovecha una vulnerabilidad detectada el 16 de julio en el servicio RPC DCOM, presente en todos. sistemas operativos familias de windows 2000, Windows XP y Windows 2003. Esta vulnerabilidad es un desbordamiento del búfer, causado por un paquete TCP/IP correctamente diseñado que llega al puerto 135, 139 o 445 de la computadora atacada. Permite, como mínimo, realizar un ataque DoS (DoS significa “Denial of Service”, o “denegación de servicio”, en este caso se reinicia el ordenador atacado), y, como máximo, ejecutar cualquier código. en la memoria del ordenador atacado. Cuando el nuevo gusano se propaga, ataca el puerto 135 y, si tiene éxito, inicia el programa TFTP.exe, mediante el cual descarga su archivo ejecutable en el ordenador atacado. En este caso, el usuario recibe un mensaje sobre cómo detener el servicio RPC y luego reiniciar. Después de reiniciar, el gusano se inicia automáticamente y comienza a escanear las redes accesibles desde la computadora en busca de computadoras con el puerto 135 abierto. Si detecta alguno, el gusano lanza un ataque y todo se repite de nuevo. Además, a juzgar por el ritmo de propagación actual, el gusano pronto ocupará el primer lugar en las listas de las empresas antivirus. Medicamento: Hay tres formas de protegerse del gusano. Primero, el boletín de Microsoft proporciona enlaces a parches para todos los afectados. Versiones de Windows, cerrando la brecha de RPC (estos parches se lanzaron el 16 de julio, por lo que quienes actualizan periódicamente el sistema no deberían preocuparse). En segundo lugar, si el puerto 135 está cerrado por un firewall, el gusano no podrá penetrar en el ordenador. En tercer lugar, deshabilitar DCOM ayuda como último recurso (este procedimiento se describe en detalle en el boletín de Microsoft). Por lo tanto, si aún no ha sido atacado por un gusano, se recomienda encarecidamente descargar un parche para su sistema operativo desde el servidor de Microsoft lo antes posible (por ejemplo, utilice los servicios actualizacion de Windows), o configurar el bloqueo de los puertos 135, 139 y 445 en el firewall. Si su computadora ya está infectada (y aparece un mensaje sobre error RPC significa claramente que está infectado), luego debe desactivar DCOM (de lo contrario, cada ataque posterior provocará un reinicio) y luego descargar e instalar el parche. Para destruir el gusano, debe eliminar la entrada "actualización automática de Windows"="msblast.exe" de la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, luego busque y borre el archivo msblast.exe; este es el cuerpo del gusano. Puede leer más sobre el procedimiento de eliminación del gusano en el sitio web de Symantec. Por el momento, no todos los antivirus detectan el gusano; sólo se puede esperar protección contra ellos después de que se publiquen las actualizaciones. Si aún no ha recibido dicho mensaje, descargue los parches del tío Bill: Aquí hay enlaces a medicina para NT 4.0 y 2000, 2003 Server.
AUTORIDAD NT/ERROR DEL SISTEMA,
Mensaje de XP: cómo eliminar un virus
Si tiene una versión rusa, asegúrese de cambiar el idioma antes de descargarla. Un poco sobre el virus en sí:
Ayer por la tarde, aproximadamente a las 23:00 hora de Moscú, comenzaron a aparecer mensajes en muchos foros sobre el comportamiento extraño de Windows 2000 y Windows XP al acceder a la red: el sistema mostraba un mensaje sobre un error del servicio RPC y la necesidad de reiniciar. Después de reiniciar, el mensaje se repitió después de unos minutos como máximo y no tuvo fin. La investigación ha demostrado que la causa es la epidemia del nuevo gusano de red w32.Blaster.worm, que comenzó hoy. El gusano aprovecha una vulnerabilidad descubierta el 16 de julio en el servicio RPC DCOM, presente en todos los sistemas operativos Windows. 2000, Windows XP y Windows 2003. Esta vulnerabilidad es un desbordamiento del búfer, que se llama mediante un paquete TCP/IP adecuadamente compuesto que llega al puerto 135, 139 o 445 de la computadora atacada. Permite, como mínimo, realizar un ataque DoS (DoS significa “Denial of Service”, o “denegación de servicio”, en este caso se reinicia el ordenador atacado), y, como máximo, ejecutar cualquier código. en la memoria del ordenador atacado. Lo primero que causó preocupación entre la comunidad de la red incluso antes de la aparición del gusano fue la presencia de un exploit (un programa para explotar una vulnerabilidad) muy fácil de usar, lo que generalmente conduce a una situación en la que cualquiera puede tomar este programa. y empezar a utilizarlo con fines no pacíficos. Sin embargo, estas eran flores... Cuando el nuevo gusano se propaga, ataca el puerto 135 y, si tiene éxito, inicia el programa TFTP.exe, mediante el cual descarga su archivo ejecutable en el ordenador atacado. En este caso, el usuario recibe un mensaje sobre cómo detener el servicio RPC y luego reiniciar. Después de reiniciar, el gusano se inicia automáticamente y comienza a escanear las redes accesibles desde la computadora en busca de computadoras con el puerto 135 abierto. Si detecta alguno, el gusano lanza un ataque y todo se repite de nuevo. Además, a juzgar por el ritmo de propagación actual, el gusano pronto ocupará el primer lugar en las listas de las empresas antivirus. Hay tres formas de protegerse del gusano.
En primer lugar, el boletín de Microsoft contiene enlaces a parches para todas las versiones vulnerables de Windows que cierran la falla RPC (estos parches se lanzaron el 16 de julio, por lo que quienes actualizan periódicamente su sistema no deberían preocuparse).
En segundo lugar, si el puerto 135 está cerrado por un firewall, el gusano no podrá penetrar en el ordenador.
En tercer lugar, deshabilitar DCOM es útil como último recurso (este procedimiento se describe en detalle en un boletín de Microsoft). Por lo tanto, si aún no ha sido atacado por un gusano, se recomienda descargar un parche para su sistema operativo desde el servidor de Microsoft lo antes posible (por ejemplo, use servicios de windows Update), o configurar el bloqueo de los puertos 135, 139 y 445 en el firewall.
Si su computadora ya está infectada (y la aparición de un mensaje de error de RPC significa claramente que está infectada), entonces debe desactivar DCOM (de lo contrario, cada ataque posterior provocará un reinicio) y luego descargar e instalar el parche.
Para destruir el gusano, debe eliminarlo de la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Ejecute la entrada "Windows Auto Update"="msblast.exe", luego busque y borre el archivo msblast.exe; este es el cuerpo del gusano. Puede leer más sobre el procedimiento de eliminación del gusano en el sitio web de Symantec. Por el momento, no todos los antivirus detectan el gusano; sólo se puede esperar protección contra ellos después de que se publiquen las actualizaciones.
Publicado por AHTOH 17/08/2003 a las 23:29:
¡GUSANO PELIGROSO! Error de sistema/autoridad NT
__________________
Lo hago bien, lo hago bien...
|
