Запуск произвольного кода с помощью электронной почты
Контрмеры: задание пароля администратора Ассеss
Запрещение использования элементов управления ActiveX не предотвратит возможности реализации описанных атак. Поэтому нужно применить модуль обновления в соответствии с инструкциями, приведенными по адресу http://www.microsoft.com/-technet/security/bulletin/MS00-049.asp. Особое внимание следует обратить на модуль обновления, предназначенный специально для устранения проблемы, связанной с Access (компания Microsoft назвала ее изъяном "сценария IE" ("IE Script")).
Компания Microsoft рекомендует также воспользоваться следующим средством, которое будет полезно независимо от того, был ли установлен модуль обновления. Для программы Access нужно установить пароль администратора (по умолчанию он не используется). Выполните для этого следующие действия.
- Запустите Access 2000, но не открывайте никаких баз данных.
- Выберите команду Tools › Security.
- Выберите пункт User And Group Accounts.
- Выберите пользователя Admin, который должен существовать по умолчанию.
- Перейдите во вкладку Change Logon Password.
- Если до этого не были внесены никакие изменения, пароль администратора должен быть пустым.
- Введите пароль администратора.
- Для выхода щелкните на кнопке ОК.
Это должно предотвратить возможность запуска злонамеренного кода VBA и его работы с высокими привилегиями. Специалисты SANS также отметили, что блокирование брандмауэром исходящих запросов на совместное использование файлов Windows (порты TCP 139 и TCP 445) позволит уменьшить вероятность необдуманного запуска пользователями удаленного кода.
Запуск файлов с помощью ненулевого параметра CLSID элементов ActiveX
Причиной выявления данного изъяна послужило вскользь сделанное замечание в дискуссии, которая велась в бюллетене Bugtraq по поводу уязвимости, обусловленной "навязыванием" файла вложения (см. ниже), которую предложили реализовать на узле malware.com. Велд Понд (Weld Pond), высококлассный хакер из группы LOpht, прославившийся благодаря утилите netcat для NT (см. главу 5), завел со своим коллегой Oil Dog из группы "Cult of Dead Cow", знаменитым автором программы Back Orifice 2000 (см. главы 4 и 14), разговор о механизме запуска файлов, навязанных пользователям по методике malware.com. Оказывается, можно запустить любой файл, поместив в тело электронного сообщения дескриптор OBJECT и сконфигурировав его с помощью ненулевого параметра CLSID. При этом в мишень превращается каждый исполняемый файл, находящийся на диске пользователя. Ниже приведен пример соответствующей капсулы для взлома электронной почты.
helo somedomain.com mail from: <mallory@attack.net> rcpt to: <hapless@victim.net> data subject: Read this! Importance: high MIME-Version: 1.0 Content-Type: text/html; charset=us-ascii <HTML> <HEAD> </HEAD> <BODY> <OBJECT CLASSID='CLSID: 10000000-0000-0000-0000-000000000000' CODEBASE='с:\windows\calc.exe'X/OBJECT> </BODYX/HTML> quit
Обратите внимание на ненулевой параметр CLSID. Именно он приводит в действие весь механизм. Файл, который будет запущен, задается параметром CODEBASE.
Однако в процессе тестирования выяснилось, что для того, чтобы этот способ успешно сработал, требуется удачное расположение планет. Первое необходимое условие заключается в том, что нужно, чтобы в программе Outlook Express 5.00.2615.200 для зоны был установлен уровень безопасности Low. Кроме того, при попытке запуска файла calc.exe из папки System появлялось диалоговое окно с предупреждением о неподписанном элементе управления. Для такого стечения обстоятельств пользователи должны быть достаточно безграмотны. Но если проделать это все же удастся, то появляются заманчивые перспективы, особенно при использовании этого способа совместно с возможностью записи файлов на диск, предложенной на Web-yxie malware.com.
Контрмеры против использования ненулевого параметра CLSID
Основываясь на результатах тестирования, авторы утверждают, что установка соответствующего уровня безопасности зоны позволит устранить эту проблему (см. в предыдущих разделах описание зон безопасности).