Дырка большого диаметра в Microsoft Windows

    Выполнение произвольного кода путём посылки специально сконструированного потока UDP-пакетов на закрытый порт.

    Подвержены все 32 и 64 битные версии:
    * Windows 7
    * Windows Vista
    * Server 2008 (в т.ч. R2)

    Подробнее здесь: technet.microsoft.com/en-us/security/bulletin/ms11-083
    Поделиться публикацией

    Похожие публикации

    Комментарии 119

      +30
      кто-то подобрал «волшебный ключик» к закрытым портам, не слабо так.
        +17
        Именно так взламывали firewall во всех фильмах! :)
          +34
          — У вас дыра в безопасности!
          — Ну хоть что-то у нас в безопасности…
          0
          Для эксплуатации этой уязвимости нужно переполнить счетчик с разрядностью ULONG т.е отправить всего то 4294967296 UDP пакетов. По минимуму это примерно 114 ГБ трафика.

          Плюс к этому большинство систем находятся за NAT.

          Делаем вывод. Воспользоваться уязвимостью шансов практически нет.

        • НЛО прилетело и опубликовало эту надпись здесь
            +138
            Дуршлаг! :)
            • НЛО прилетело и опубликовало эту надпись здесь
                0
                Рыбацкая сеть. :)
                  +15
                  Ворота сборной Монсерата по футболу?
                    0
                    сборная рф уже даже на этот титул перестала претендовать?
            +14
            Старое корыто!))
              +2
              Вообще-то корыто относительно новое. И MS пока что даже запаивает в нем дырки. :)
                0
                Если оцинковать ржавое корыто, новым оно не становится.
              +2
              Юниксоиды таким не заниматься, вот красноглазые линуксоиды — да, любият такие темы :) Странно, что amarao
                0
                *ещё не отметился.
                Не мой сегодня день :(
                  +4
                  Быть может это потому, что юниксоидами считают себя любители FreeBSD, а у нормального бэсдишника на десктопе всегда винда? ;)
                    0
                    Формально даже макеры считаются юниксоидами, но я имел ввиду суровых дядек с шестизначными зарплатами, которые рулят мейнфреймами с AIX'ом и кластерами с Solaris.
                      0
                      Если не ошибаюсь, формально только макеры юниксоидами и считаются, т.к. больше Unix-систем актуальных нет.
                        +2
                        AIX, HP-UX и Solaris живее всех живых, чем не Unix?
                        0
                        парадокс, но два из трех админов, рулящих нашим Solaris-кластером, сидят на Mac OS X…
                          +1
                          и она тоже есть базирующаяся-на-Unix система)))
                        0
                        FreeBSD != UNIX
                          +3
                          Gnu is Not Unix!
                            0
                            воистину! ;)
                        +2
                        А чё тут говорить? Типовая винда, ничего со времён remote execution через RDP и дырявый IIS не поменялось. Я бы понял, если бы что-то новое и особое.

                        А так — регулярная дырка, которые килограммами каждый месяц латают.
                          0
                          Которую закрыли до появления рабочего эксплоита, как и всегда.
                            +2
                            Вы готовы ответить за «как и всегда»?
                              0
                              Последние несколько эпидемий начинались уже после выхода патчей, тот же Sasser.
                        +1
                        Дырявое МелкоСито.
                        +4
                        Holy crap…
                          –21
                          The majority of customers have automatic updating enabled and will not need to take any action because this security update will be downloaded and installed automatically

                          Ага, особенно в России.
                            +57
                            Бывают кряки на столько хорошие, что можно автоапдейты не отключать… ;)
                            И тем более MS даже после истекшего срока не лочит больше винду, а просто красуется надпись — вы еще не купили данную версию виндовс.
                            Так что выключают автоапдейты, только идиоты!
                              +11
                              Ну так идиоты в общем-то и есть majority. Ну или 'обычные пользователи' если корректней. Часто приходилось знакомым пропагандировать обновления ибо как раз таки у большинства оно было отключено сразу после установки (да даже честно купленной винды) по старым привычкам/из экономии траффика/просто из вредности.
                                0
                                Угу, только надпись, если бы! Еще сервера отключаются. Сам грешен, что не отследил изменения в лицензировании, когда для использования КМС ключей стало необходимо больше запросов чем раньше, но не суть, в один из понедельников меня обрадовали пара выключившихся хост-серверов, у которых, как потом оказалось, активация по КМС перестала работать, они дожили до окончания срока действия и благополучно выключились.
                                  –3
                                  orly? Уверен на 100% что просто совпало, ибо из-за такого выключать серверы — бред, а вдруг в продакшене у кого нибудь ляжет, майкрософт за это раскатали.
                                    +4
                                    windows предоставляется as is
                                      +11
                                      «ass is» говорите?
                                        0
                                        As is не as is, но ответственность перед большими клиентами всё равно есть. Пусть не напрямую денежная, но всё же есть. Репутационная и финансовая в будущем. Если один раз произойдёт что-нибудь глобальное с крупнейшими клиентами, а МС скажет — идите вы, у нас всё эс из и не будет ничего делать, то второго раза просто не будет.

                                        Какой другой вендор может похвастаться поддержкой системы в течение почти пятнадцати лет? Вот вам и as is.
                                          0
                                          Вся ответственность перед большими клиентами прописывается в SLA. Чтение кстати довольно занимательное для тех кто понимает. Что же касается поддержки системы в течении пятнадцати лет — поддержка бывает разной. Можно например поддерживать систему, но по коньюктурным соображениям отказаться внутри этой поддержки от какой-нибудь технологии — это практикуется msft время от времени. Те, кто в эту технологию вкладывал свое время и деньги считают это едва ли не предательством.
                                        0
                                        Насчёт серверов не скажу — а вот рабочие станции кроме надписи и пропавших обоев начинают автоматически перезагружаться каждые 30 минут (или 60, не помню уже).
                                          0
                                          это ознакомительные версии пре-релизные так себя вели только
                                          +4
                                          100%? На все 100% я не могу быть даже уверен, что в данный момент моя задница находится на стуле. Мало ли рецепторы врут и я уже 5 лет в коме лежу и мне все снится) А тут человек на 100% уверен в поведении закрытой ОС к которой исправлений обычно выпускают больше, чем она весит.

                                          Ну а по существу, логи-то я умею смотреть, и в том, что выключения были инициированы из-за отсутствии действующей лицензии, там было вполне четко написано. И за что майкрософт раскатывать? За выключения серверов, ОС которой сама Майкрософт признает не лицензионной? Почитайте соглашение при установке хотя бы.
                                            –1
                                            Мне просто трудно представить себе такое. Мало ли по какой причине перестал быть доступен КМС сервер? Может сеть легла до его расположения, или фейковый подняли инсайдеры, и тем самым могут легко уложить все серверы? Всё равно не верю.

                                            Честно признаюсь, у меня были в хозяйстве нелицензионные серверы, но ни разу небыло случаев выключения.

                                            Да что уж говорить, даже офис нелицензионный не перестаёт работать, чтобы не испортить пользователю жизнь, а только краснеет и предупреждения выводит.
                                              +1
                                              Ok. Вот кусок из лога, событие:

                                              The process wlms.exe has initiated the power off of computer HOST01 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Other (Unplanned)
                                              Reason Code: 0x0
                                              Shutdown Type: power off
                                              Comment:

                                              Ну и линки, если гуглить лень: раз и два
                                                +2
                                                Вот и ответ из ваших: вы использовали пробную версию windows server'a в продакшн среде, что изначально противоречит не только лицензии и рекомендациям, но и прямо игнорирует тот факт, что данная система после истечения пробного периода будет выключаться, как заявлено производителем.
                                                  +1
                                                  Эта версия была скачана с корпоративного отдела МС, эти серверы были натравлены на сервер КМС и довольно долго жили без всяких проблем. После того, как КМС в очередной раз не отдал лицензию из- за описанных выше обстоятельств, серверы взяли и выключились.
                                                    0
                                                    Хорошо, прошу прощения, без реального присутствия сделал неправильные выводы, но у меня правда в голове не укладывается такое поведение системы.
                                      0
                                      Так что выключают автоапдейты, только идиоты!
                                      Я тоже когда то так думал, пока на работе не пришлось ребутнуться… и оно начало сетапить апдейты накачавшая наверно за весь месяц, где-то на час моя работа стопорнулась и назло в самый «подходящий» момент. Спасибо, но больше такого не нужно.
                                        +1
                                        По умолчанию в настройках стоит — включить автообновления и завершать установку критичных перезагрузкой по запросу или в 3 часа ночи, если у вас комп по ночам остается включенным.
                                        Также на критичных обновлениях Windows просит — перегрузи меня, и это можно отложить.
                                        Никто не виноват в том что вы компьютер не перегружаете когда вас просят об этом, и даже предлагают вам напомнить об этом через 4 часа, а если не отреагируете в течение 15 минут, ОС сама все сохранит и перегрузится, установив все важные обновления.
                                        И еще — обновления ставятся во время нажатия полностью выключить ПК, а при просто перезагрузке, часто быстро перегружается, и ждет когда же вы все таки решите выключить ПК.
                                    0
                                    Интересны детали дырки и что значит «closed» из сообщения MS: «The vulnerability could allow remote code execution if an attacker sends a continuous flow of specially crafted UDP packets to a closed port on a target system.» И влияет ли как то фаерволл. Никто не в курсе?
                                      +16
                                      Когда приходит UDP пакет, поскольку это безсессионный протокол, каждый пакет должен быть рассмотрен TCP/IP стеком. В заголовке пакета есть адрес и порт назначения, длина пакета и контрольная сумма псевдо-заголовка (IPv4/IPv6), заголовка UDP и данных. Это означает, что прежде чем отвергнуть пакет, стек должен убедиться, что данные, которые он получил, корректны хотя бы с точки зрения целостности самого пакета. То есть, даже если пакет предназначен порту, который никто не слушает, сетевой стек все равно его прочитает. Видимо, в вычислении контрольной суммы и была ошибка в обработке, которая приводит к какой-нибудь операции по размещению подменного адреса возврата на стеке.
                                      via
                                        +11
                                        Ну как, объясните мне, как тут можно было ошибиться? Вот UDP датаграмма. Порт получателя — это второе поле, биты с 16 по 31-ый. Прочитав его, уже можно принимать решение о его отклонении. Какая разница, что дальше, какая разница, что было в первых 16 битах. Порт закрыт — нафиг. Кто-то может хотя бы теоретически представить где тут можно было слажать?
                                          +2
                                          Приняли пакет, обсчитываем контрольную сумму, ???, взломали. Т.е. до непосредственного чтения поля порта идут вычисления на основе принятого пакета.
                                          +13
                                          Есть некий счетчик, при каждом «специальном» UDP пакете этот счетчик увеличивается. Соответственно когда таких пакетов очень много, происходит integer overflow и счетчик становится == 0. В этот момент и происходит free, а так же, происходит (пере)выделение памяти для новой структуры (так как счетчик ==0, значит надо выделить памяти… типа). Вот в этот момент и происходит где-то ошибка с текущим указателем на структуру. Вроде как указатель есть, а указывает черт знает куда (теоретически туда можно запихнуть поддельные данные с указателем на r0-шеллкод). Ходит слух, что ошибка завязана на функцию счетчика ICMP ответов (если порт закрыт, шлется ICMP сообщение об этом)- ippRateLimitICMP. В любом случае, подождем PoC… уж скоро должен быть. Хотя, ИМХО, RCE стабильный эксплойт сделать будет очень сложно 8)
                                            +1
                                            даже очень-очень-очень… сложно 8) Так что стабильного, крутого эксплойта не будет… зато паники по Интернетам… уууу….
                                            Если прикинуть, то даже DoS эксплойт геморройный… надо послать 2^32 (например, если unsigned int в x32) UDP пакетов, что бы задосить сервак, обнулив счетчик.
                                            –15
                                            >> «Когда приходит UDP пакет, поскольку это безсессионный протокол, каждый пакет должен быть рассмотрен TCP/IP стеком. „

                                            уууу… оказывается TCP/IP стек “рассматривает» пакеты UDP. надо же, век живи, век учись. )))
                                              0
                                              а кто же рассматривает по вашему?
                                                0
                                                Ну с точки зрения модели OSI стек TCP недолжен никак быть связан с UDP.
                                                Хотя реальность суровая штука и в ней все не так как в книжках, в которых написанно как должно быть.
                                                  0
                                                  Стэк TCP/IP покрывает разные уровни OSI. И UDP входит в стэк протоколов TCP/IP.
                                                    0
                                                    Нет такого понятия, как вы сказали «стек TCP» есть стек TCP/IP.
                                            –10
                                            Название топика доставляет :) А если по делу, то дырка нехилая и надеюсь скоро исправят, хотя у MS есть случаи, когда исправляют месяцами и годами.
                                              0
                                              Уже исправлено. Ссылка в топике, там ссылки на патчи и сообщение, что через автоапдейт само залатается.
                                                0
                                                в windows update появилось 4 обновления с подходящим описанием, может уже исправили?
                                                  +1
                                                  Когда писал каммент, ссылки вроде как не было или я невнимателен. А 4 апдейта у меня загрузились еще утром. Что же молодцы они, оперативные.
                                                  +1
                                                  Так уже исправили. Фикс входит в сегодняшний пакет:
                                                  technet.microsoft.com/en-us/security/bulletin/ms11-nov
                                                    0
                                                    Ну, там вроде бы уже упоминается апдейт, который исправляет уязвимость. Только не понятно опубликовали ли они его и для каких систем.
                                                    –16
                                                    Нефиг было MS совать свои ручки в *BSD TCP стек…

                                                    P.S. не обосновано, писал на эмоциях.
                                                      +3
                                                      Постскриптум толковый, бро.
                                                      +3
                                                      странно, что самые распространенные Windows XP и Windows Server 2003 не подвержены атаке.
                                                        +14
                                                        Их, наверное, скоро и вирусы будут считать устаревшими и не представляющими интерес. Как DOS.
                                                          0
                                                          Не сразу. Win98 перестали считать не столько по причине устарения, сколько потому что 2к/ХР имеет чуть другую библиотеку для работы с сетью (под которую проще писать код) по этому поддерживать 9х стало более затратно (несоизмеримо с прибылью от использования)

                                                          Вирусы же написанные специально для 7-ки без дополнительных танцев с бубном в гораздо большем количестве случаев будут работать на ура как в ХР так и возможно даже в Win2000 (не думаю что сильно многим вирусам нужен DirectX10 и прочие Аэро которых нет в ХР)
                                                          +2
                                                          Да лишь бы для них патчи были, если дырки есть. А то ведь и забыть могли. На работе весь парк компов Windows XP и Server 2003 R2 со всеми обновлениями.
                                                          Уже на одну дырку забили в Windows XP. Сказали слишком сложно в коде старом разбираться чтобы закрыть.
                                                            +2
                                                            Ох. Прошу прощения. Читать надо внимательней. Точно не подвержены. Видимо как раз из-за этого самого старого кода в котором сложно разобраться :)
                                                            +5
                                                            В семёрке и висте новый стек.
                                                              +1
                                                              Новый решеточный стек.
                                                                +2
                                                                А вы стеки, мои стеки,
                                                                Стеки новые мои,
                                                                Стеки новые, хреновые, ре-ше-т-ча-ты-е-е-е-е!
                                                              –1
                                                              Дайте сплойт — нужно над шефом прикольнуться, пока есть такая возможность! :)
                                                                0
                                                                Сплоит есть, нужно только немножко поискать ;)
                                                                +1
                                                                Интересно, как они это починили?
                                                                Как с gopher-ом? Отключили по-умолчанию?
                                                                  0
                                                                  Вылечат. И тебя вылечат и меня вылечат. (с) К/Ф «Иван Васильевич меняет профессию»
                                                                    +66
                                                                    не дырка, а технологическое отверстие!
                                                                      +8
                                                                      двойной диффузор? :)
                                                                        +4
                                                                        F-Duct (если мы на одной волне) :-)
                                                                          +3
                                                                          И прочие передние выхлопы.
                                                                        +1
                                                                        вспомнил школу, как нас трудовик поучал: «дырка у тебя в попе, а в детали — отверстие!» =)
                                                                          0
                                                                          На самом-то деле в попе тоже отверстие, если по документации смотреть :)
                                                                        0
                                                                        Оперативно. WSUS уже на все поставил фиксы.
                                                                          +4
                                                                          А меня NAT бережёт! :-)
                                                                            0
                                                                            а нат из чего сделан?
                                                                              +1
                                                                              Из аппаратного маршрутизатора на линуксе. Так что мне страшны только линуксовые уязвимости :-)
                                                                              +3
                                                                              Да сейчас, как мне кажется, абсолютное большинство сидит за натом. Причем чеще всего это какой-нить «железный» машрутзатор. Чуть реже — ISA, иногда решения на никсах. Проникновение TMG — еще ничтожно мало. А те, кто используют в качестве пограничного шлюза связки вида WinServ2008(R2)+Usregate (или какой-нить аналог), сами себе злобные буратины.
                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                0
                                                                                Вот здесь немножко подробностей — Assessing the exploitability of MS11-083.
                                                                                  0
                                                                                  О да. Особенно доставило:

                                                                                  Exploitability

                                                                                  While the last scenario can theoretically lead to RCE, we believe it is difficult to achieve RCE using this vulnerability considering that the type of network packets required are normally filtered at the perimeter and the small timing window between the release and next access of the structure, and a large number of packets are required to pull off the attack. As a result, we assign an Exploitability Index of «2» for this vulnerability.
                                                                                  +1
                                                                                  помнится, в Linux ядре 2.4 тоже было что-то эдакое… хотя, широкой аудитории вряд ли известно

                                                                                    +7
                                                                                    Мне кажется, или тут всё-таки речь про открытый порт?
                                                                                      0
                                                                                      Ага, и эксплоиту этому около 10 лет…
                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        0
                                                                                        Не вспомню уже. Видимо, откуда-то из интернетов. У меня файл 2003 годом датирован.
                                                                                      –12
                                                                                      Пните меня, что я сижу на восьмой винде.
                                                                                        +1
                                                                                        Что заплатка есть это хорошо, а вот то, что теперь опять вирьё будет по домашним сетям гулять, как в старой истории с дырой RPC DCOM в windows xp, это печально.
                                                                                          +14
                                                                                          Ибо нефиг отключать автообновление и ставить паленые сборки с непредсказуемым поведением.
                                                                                            0
                                                                                            Обычным пользователям не понять, зачем нужны «драные обновления», которые «мешают включать и выключать вовремя компьютер» :) ИМХО — таки обновления системе надо втихаря самой скачивать и устанавливать.
                                                                                              0
                                                                                              Так же как и не понять зачем нужны обновления на обновления…
                                                                                            0
                                                                                            Да не будет вирья… Не будет стабильного эксплойта.
                                                                                            –11
                                                                                            Я бы хотел пользоваться таким софтом, который не надо обновлять, и в котором не надо бояться зиродей уязвимостей.

                                                                                            Пока я знаю только один продукт, соответствующий этому определению — Google Chrome. Напишите, если кто-нибудь знает еще хоть один.
                                                                                              +12
                                                                                              Не идеализируйте, Хром обновляется точно так же, как и вся винда — автоматически.
                                                                                              Уверенность, что в нем нет уязвимостей — опасна. Опаснее, чем сами уязвимости.
                                                                                                +1
                                                                                                dmenu
                                                                                                  0
                                                                                                  Ну в Хроме есть флэш, например. Флэш тот — в ослабленной песочнице работает. Собственно ребята из Vupen продавали эксплойт который делал стабильный RCE в Гугл Хроме через багу в флэше.
                                                                                                  www.vupen.com/demos/VUPEN_Pwning_Chrome.php

                                                                                                  +10
                                                                                                  Похоже кто-то спалил майкрософтовский бэкдор.
                                                                                                    +2
                                                                                                    Это не дыра, это фича.
                                                                                                      +1
                                                                                                      Дырявая фича.
                                                                                                      0
                                                                                                      Хоть кто-то что-то нормальное написал :) В отличие от M$induses.
                                                                                                        0
                                                                                                        И я о том же выше писал 8) Так что бага не так и крута 8( Но забавна…
                                                                                                      0
                                                                                                      Вот чё.
                                                                                                      /*
                                                                                                      * MS11-083 DoS/PoC exploit
                                                                                                      * ========================
                                                                                                      * This attempts to trigger the ICMP refCount overflow
                                                                                                      * in TCP/IP stack of Win7/Vista/Win2k8 hosts. This
                                                                                                      * requires sending 2^32 UDP packets to a host on a closed
                                                                                                      * port, or 4,294,967,296 packets. A dereference function
                                                                                                      * must be called that is not triggered via ICMP echo
                                                                                                      * request packets. This exploit creates 250 threads and
                                                                                                      * floods a host with UDP packets and then attempts to
                                                                                                      * trigger the de-ref using ping. I calculated that it
                                                                                                      * would take approximately 52 days for the host to
                                                                                                      * enter a condition where this vulnerability is
                                                                                                      * triggerable.
                                                                                                      *
                                                                                                      * -- prdelka
                                                                                                      */

                                                                                                      pastebin.com/HWjgRGiU
                                                                                                        0
                                                                                                        Глупый парсер и лишние переводы строк.
                                                                                                          0
                                                                                                          Да уж. Сильнейший эксплоит. Нужно долбить жертву UDP в 250 потоков в течении ~52 дней.

                                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                        Самое читаемое