Pull to refresh

Comments 119

кто-то подобрал «волшебный ключик» к закрытым портам, не слабо так.
Именно так взламывали firewall во всех фильмах! :)
— У вас дыра в безопасности!
— Ну хоть что-то у нас в безопасности…
Для эксплуатации этой уязвимости нужно переполнить счетчик с разрядностью ULONG т.е отправить всего то 4294967296 UDP пакетов. По минимуму это примерно 114 ГБ трафика.

Плюс к этому большинство систем находятся за NAT.

Делаем вывод. Воспользоваться уязвимостью шансов практически нет.

UFO just landed and posted this here
UFO just landed and posted this here
Ворота сборной Монсерата по футболу?
сборная рф уже даже на этот титул перестала претендовать?
Вообще-то корыто относительно новое. И MS пока что даже запаивает в нем дырки. :)
Если оцинковать ржавое корыто, новым оно не становится.
Юниксоиды таким не заниматься, вот красноглазые линуксоиды — да, любият такие темы :) Странно, что amarao
*ещё не отметился.
Не мой сегодня день :(
Быть может это потому, что юниксоидами считают себя любители FreeBSD, а у нормального бэсдишника на десктопе всегда винда? ;)
Формально даже макеры считаются юниксоидами, но я имел ввиду суровых дядек с шестизначными зарплатами, которые рулят мейнфреймами с AIX'ом и кластерами с Solaris.
Если не ошибаюсь, формально только макеры юниксоидами и считаются, т.к. больше Unix-систем актуальных нет.
AIX, HP-UX и Solaris живее всех живых, чем не Unix?
парадокс, но два из трех админов, рулящих нашим Solaris-кластером, сидят на Mac OS X…
и она тоже есть базирующаяся-на-Unix система)))
А чё тут говорить? Типовая винда, ничего со времён remote execution через RDP и дырявый IIS не поменялось. Я бы понял, если бы что-то новое и особое.

А так — регулярная дырка, которые килограммами каждый месяц латают.
Которую закрыли до появления рабочего эксплоита, как и всегда.
Вы готовы ответить за «как и всегда»?
Последние несколько эпидемий начинались уже после выхода патчей, тот же Sasser.
The majority of customers have automatic updating enabled and will not need to take any action because this security update will be downloaded and installed automatically

Ага, особенно в России.
Бывают кряки на столько хорошие, что можно автоапдейты не отключать… ;)
И тем более MS даже после истекшего срока не лочит больше винду, а просто красуется надпись — вы еще не купили данную версию виндовс.
Так что выключают автоапдейты, только идиоты!
Ну так идиоты в общем-то и есть majority. Ну или 'обычные пользователи' если корректней. Часто приходилось знакомым пропагандировать обновления ибо как раз таки у большинства оно было отключено сразу после установки (да даже честно купленной винды) по старым привычкам/из экономии траффика/просто из вредности.
Угу, только надпись, если бы! Еще сервера отключаются. Сам грешен, что не отследил изменения в лицензировании, когда для использования КМС ключей стало необходимо больше запросов чем раньше, но не суть, в один из понедельников меня обрадовали пара выключившихся хост-серверов, у которых, как потом оказалось, активация по КМС перестала работать, они дожили до окончания срока действия и благополучно выключились.
UFO just landed and posted this here
UFO just landed and posted this here
Вся ответственность перед большими клиентами прописывается в SLA. Чтение кстати довольно занимательное для тех кто понимает. Что же касается поддержки системы в течении пятнадцати лет — поддержка бывает разной. Можно например поддерживать систему, но по коньюктурным соображениям отказаться внутри этой поддержки от какой-нибудь технологии — это практикуется msft время от времени. Те, кто в эту технологию вкладывал свое время и деньги считают это едва ли не предательством.
Насчёт серверов не скажу — а вот рабочие станции кроме надписи и пропавших обоев начинают автоматически перезагружаться каждые 30 минут (или 60, не помню уже).
это ознакомительные версии пре-релизные так себя вели только
100%? На все 100% я не могу быть даже уверен, что в данный момент моя задница находится на стуле. Мало ли рецепторы врут и я уже 5 лет в коме лежу и мне все снится) А тут человек на 100% уверен в поведении закрытой ОС к которой исправлений обычно выпускают больше, чем она весит.

Ну а по существу, логи-то я умею смотреть, и в том, что выключения были инициированы из-за отсутствии действующей лицензии, там было вполне четко написано. И за что майкрософт раскатывать? За выключения серверов, ОС которой сама Майкрософт признает не лицензионной? Почитайте соглашение при установке хотя бы.
UFO just landed and posted this here
Ok. Вот кусок из лога, событие:

The process wlms.exe has initiated the power off of computer HOST01 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Other (Unplanned)
Reason Code: 0x0
Shutdown Type: power off
Comment:

Ну и линки, если гуглить лень: раз и два
UFO just landed and posted this here
Эта версия была скачана с корпоративного отдела МС, эти серверы были натравлены на сервер КМС и довольно долго жили без всяких проблем. После того, как КМС в очередной раз не отдал лицензию из- за описанных выше обстоятельств, серверы взяли и выключились.
UFO just landed and posted this here
Так что выключают автоапдейты, только идиоты!
Я тоже когда то так думал, пока на работе не пришлось ребутнуться… и оно начало сетапить апдейты накачавшая наверно за весь месяц, где-то на час моя работа стопорнулась и назло в самый «подходящий» момент. Спасибо, но больше такого не нужно.
По умолчанию в настройках стоит — включить автообновления и завершать установку критичных перезагрузкой по запросу или в 3 часа ночи, если у вас комп по ночам остается включенным.
Также на критичных обновлениях Windows просит — перегрузи меня, и это можно отложить.
Никто не виноват в том что вы компьютер не перегружаете когда вас просят об этом, и даже предлагают вам напомнить об этом через 4 часа, а если не отреагируете в течение 15 минут, ОС сама все сохранит и перегрузится, установив все важные обновления.
И еще — обновления ставятся во время нажатия полностью выключить ПК, а при просто перезагрузке, часто быстро перегружается, и ждет когда же вы все таки решите выключить ПК.
Интересны детали дырки и что значит «closed» из сообщения MS: «The vulnerability could allow remote code execution if an attacker sends a continuous flow of specially crafted UDP packets to a closed port on a target system.» И влияет ли как то фаерволл. Никто не в курсе?
Когда приходит UDP пакет, поскольку это безсессионный протокол, каждый пакет должен быть рассмотрен TCP/IP стеком. В заголовке пакета есть адрес и порт назначения, длина пакета и контрольная сумма псевдо-заголовка (IPv4/IPv6), заголовка UDP и данных. Это означает, что прежде чем отвергнуть пакет, стек должен убедиться, что данные, которые он получил, корректны хотя бы с точки зрения целостности самого пакета. То есть, даже если пакет предназначен порту, который никто не слушает, сетевой стек все равно его прочитает. Видимо, в вычислении контрольной суммы и была ошибка в обработке, которая приводит к какой-нибудь операции по размещению подменного адреса возврата на стеке.
via
Ну как, объясните мне, как тут можно было ошибиться? Вот UDP датаграмма. Порт получателя — это второе поле, биты с 16 по 31-ый. Прочитав его, уже можно принимать решение о его отклонении. Какая разница, что дальше, какая разница, что было в первых 16 битах. Порт закрыт — нафиг. Кто-то может хотя бы теоретически представить где тут можно было слажать?
Приняли пакет, обсчитываем контрольную сумму, ???, взломали. Т.е. до непосредственного чтения поля порта идут вычисления на основе принятого пакета.
Есть некий счетчик, при каждом «специальном» UDP пакете этот счетчик увеличивается. Соответственно когда таких пакетов очень много, происходит integer overflow и счетчик становится == 0. В этот момент и происходит free, а так же, происходит (пере)выделение памяти для новой структуры (так как счетчик ==0, значит надо выделить памяти… типа). Вот в этот момент и происходит где-то ошибка с текущим указателем на структуру. Вроде как указатель есть, а указывает черт знает куда (теоретически туда можно запихнуть поддельные данные с указателем на r0-шеллкод). Ходит слух, что ошибка завязана на функцию счетчика ICMP ответов (если порт закрыт, шлется ICMP сообщение об этом)- ippRateLimitICMP. В любом случае, подождем PoC… уж скоро должен быть. Хотя, ИМХО, RCE стабильный эксплойт сделать будет очень сложно 8)
даже очень-очень-очень… сложно 8) Так что стабильного, крутого эксплойта не будет… зато паники по Интернетам… уууу….
Если прикинуть, то даже DoS эксплойт геморройный… надо послать 2^32 (например, если unsigned int в x32) UDP пакетов, что бы задосить сервак, обнулив счетчик.
>> «Когда приходит UDP пакет, поскольку это безсессионный протокол, каждый пакет должен быть рассмотрен TCP/IP стеком. „

уууу… оказывается TCP/IP стек “рассматривает» пакеты UDP. надо же, век живи, век учись. )))
Ну с точки зрения модели OSI стек TCP недолжен никак быть связан с UDP.
Хотя реальность суровая штука и в ней все не так как в книжках, в которых написанно как должно быть.
Стэк TCP/IP покрывает разные уровни OSI. И UDP входит в стэк протоколов TCP/IP.
Нет такого понятия, как вы сказали «стек TCP» есть стек TCP/IP.
Название топика доставляет :) А если по делу, то дырка нехилая и надеюсь скоро исправят, хотя у MS есть случаи, когда исправляют месяцами и годами.
Уже исправлено. Ссылка в топике, там ссылки на патчи и сообщение, что через автоапдейт само залатается.
в windows update появилось 4 обновления с подходящим описанием, может уже исправили?
Когда писал каммент, ссылки вроде как не было или я невнимателен. А 4 апдейта у меня загрузились еще утром. Что же молодцы они, оперативные.
Ну, там вроде бы уже упоминается апдейт, который исправляет уязвимость. Только не понятно опубликовали ли они его и для каких систем.
Нефиг было MS совать свои ручки в *BSD TCP стек…

P.S. не обосновано, писал на эмоциях.
UFO just landed and posted this here
странно, что самые распространенные Windows XP и Windows Server 2003 не подвержены атаке.
Их, наверное, скоро и вирусы будут считать устаревшими и не представляющими интерес. Как DOS.
Не сразу. Win98 перестали считать не столько по причине устарения, сколько потому что 2к/ХР имеет чуть другую библиотеку для работы с сетью (под которую проще писать код) по этому поддерживать 9х стало более затратно (несоизмеримо с прибылью от использования)

Вирусы же написанные специально для 7-ки без дополнительных танцев с бубном в гораздо большем количестве случаев будут работать на ура как в ХР так и возможно даже в Win2000 (не думаю что сильно многим вирусам нужен DirectX10 и прочие Аэро которых нет в ХР)
Да лишь бы для них патчи были, если дырки есть. А то ведь и забыть могли. На работе весь парк компов Windows XP и Server 2003 R2 со всеми обновлениями.
Уже на одну дырку забили в Windows XP. Сказали слишком сложно в коде старом разбираться чтобы закрыть.
Ох. Прошу прощения. Читать надо внимательней. Точно не подвержены. Видимо как раз из-за этого самого старого кода в котором сложно разобраться :)
В семёрке и висте новый стек.
А вы стеки, мои стеки,
Стеки новые мои,
Стеки новые, хреновые, ре-ше-т-ча-ты-е-е-е-е!
Дайте сплойт — нужно над шефом прикольнуться, пока есть такая возможность! :)
Сплоит есть, нужно только немножко поискать ;)
UFO just landed and posted this here
Вылечат. И тебя вылечат и меня вылечат. (с) К/Ф «Иван Васильевич меняет профессию»
F-Duct (если мы на одной волне) :-)
вспомнил школу, как нас трудовик поучал: «дырка у тебя в попе, а в детали — отверстие!» =)
На самом-то деле в попе тоже отверстие, если по документации смотреть :)
Из аппаратного маршрутизатора на линуксе. Так что мне страшны только линуксовые уязвимости :-)
Да сейчас, как мне кажется, абсолютное большинство сидит за натом. Причем чеще всего это какой-нить «железный» машрутзатор. Чуть реже — ISA, иногда решения на никсах. Проникновение TMG — еще ничтожно мало. А те, кто используют в качестве пограничного шлюза связки вида WinServ2008(R2)+Usregate (или какой-нить аналог), сами себе злобные буратины.
UFO just landed and posted this here
О да. Особенно доставило:

Exploitability

While the last scenario can theoretically lead to RCE, we believe it is difficult to achieve RCE using this vulnerability considering that the type of network packets required are normally filtered at the perimeter and the small timing window between the release and next access of the structure, and a large number of packets are required to pull off the attack. As a result, we assign an Exploitability Index of «2» for this vulnerability.
помнится, в Linux ядре 2.4 тоже было что-то эдакое… хотя, широкой аудитории вряд ли известно

Мне кажется, или тут всё-таки речь про открытый порт?
Ага, и эксплоиту этому около 10 лет…
UFO just landed and posted this here
Не вспомню уже. Видимо, откуда-то из интернетов. У меня файл 2003 годом датирован.
Что заплатка есть это хорошо, а вот то, что теперь опять вирьё будет по домашним сетям гулять, как в старой истории с дырой RPC DCOM в windows xp, это печально.
Ибо нефиг отключать автообновление и ставить паленые сборки с непредсказуемым поведением.
Обычным пользователям не понять, зачем нужны «драные обновления», которые «мешают включать и выключать вовремя компьютер» :) ИМХО — таки обновления системе надо втихаря самой скачивать и устанавливать.
Так же как и не понять зачем нужны обновления на обновления…
Да не будет вирья… Не будет стабильного эксплойта.
Я бы хотел пользоваться таким софтом, который не надо обновлять, и в котором не надо бояться зиродей уязвимостей.

Пока я знаю только один продукт, соответствующий этому определению — Google Chrome. Напишите, если кто-нибудь знает еще хоть один.
Не идеализируйте, Хром обновляется точно так же, как и вся винда — автоматически.
Уверенность, что в нем нет уязвимостей — опасна. Опаснее, чем сами уязвимости.
Ну в Хроме есть флэш, например. Флэш тот — в ослабленной песочнице работает. Собственно ребята из Vupen продавали эксплойт который делал стабильный RCE в Гугл Хроме через багу в флэше.
www.vupen.com/demos/VUPEN_Pwning_Chrome.php

Похоже кто-то спалил майкрософтовский бэкдор.
Хоть кто-то что-то нормальное написал :) В отличие от M$induses.
И я о том же выше писал 8) Так что бага не так и крута 8( Но забавна…
Вот чё.
/*
* MS11-083 DoS/PoC exploit
* ========================
* This attempts to trigger the ICMP refCount overflow
* in TCP/IP stack of Win7/Vista/Win2k8 hosts. This
* requires sending 2^32 UDP packets to a host on a closed
* port, or 4,294,967,296 packets. A dereference function
* must be called that is not triggered via ICMP echo
* request packets. This exploit creates 250 threads and
* floods a host with UDP packets and then attempts to
* trigger the de-ref using ping. I calculated that it
* would take approximately 52 days for the host to
* enter a condition where this vulnerability is
* triggerable.
*
* -- prdelka
*/

pastebin.com/HWjgRGiU
Глупый парсер и лишние переводы строк.
Да уж. Сильнейший эксплоит. Нужно долбить жертву UDP в 250 потоков в течении ~52 дней.
Sign up to leave a comment.

Articles