HARD CORE SECURITY LAB

Tavis Ormandy, czyli znany specjalista ds. bezpieczeństwa pracujący na co dzień dla firmy Google, upublicznił szczegółowe informacje na temat nowej luki obecnej w systemach Windows XP oraz Server 2003. Dziura obecna jest w funkcji Pomoc i obsługa techniczna i pozwala intruzowi na zdalne przejęcie całkowitej kontroli nad docelowym systemem. Ledwo Microsoft zdołał wczoraj opublikować ostrzeżenie o luce, a odpowiedni exploit jest już dostępny w ramach środowiska Metasploit. Zobaczmy więc jak wygląda przykładowy atak wykorzystujący tę podatność.

Problem obecny w funkcji Pomoc i obsługa techniczna polega na tym, że możliwe jest umieszczenie systemowych poleceń w ramach adresów aktywujących administracyjne narzędzie Pomoc zdalna. W efekcie możliwe jest całkowite przejęcie kontroli nad systemem podatnym na atak. Więcej szczegółów technicznych można znaleźć w obszernym wpisie opublikowanym przez samego odkrywcę błędu.

Warto nadmienić, że Tavis poinformował o całej sprawie firmę Microsoft zaledwie na 5 dni przed upublicznieniem wszelkich szczegółów. Czas ten oczywiście w żadnym razie nie mógł wystarczyć na przygotowanie odpowiedniej poprawki i tak oto otrzymaliśmy od firmy Google piękną lukę Zero Day w systemach Windows. Microsoft ma najwyraźniej żal do firmy Google, za zbyt szybkie ujawnienie szczegółów, co można wywnioskować między innymi na podstawie wpisu opublikowanego w ramach The Microsoft Security Response Center. Cała sytuacja wpisuje się więc idealnie w toczącą się pomiędzy dwoma gigantami wojnę.

Opublikowane szczegóły techniczne pozwoliły na umieszczenie odpowiedniego exploitu w ramach środowiska Metasploit Framework. Tak oto powstał exploit Zero Day dostępny dla wszystkich. Zobaczmy więc, w jaki sposób możemy za jego pomocą przejąć całkowitą kontrolą nad w pełnie zaktualizowanym systemem Windows XP SP3.

Do przeprowadzenia naszego testu penetracyjnego (ataku testowego) posłużymy się wspomnianym środowiskiem Metasploit Framework oraz najnowszym systemem Linux BackTrack 4. Osoby nieobeznane z testami penetracyjnymi oraz podstawami pracy ze środowiskiem Metasploit, zachęcam najpierw do przestudiowania wpisu Metasploit Framework: przykładowy test penetracyjny w praktyce.

W celu przeprowadzenia skutecznego ataku musimy tylko skonfigurować i uchronić exploit oraz nakłonić potencjalną ofiarę do odwiedzenia spreparowanego przez nas adresu. Oto jak może wyglądać przykładowy atak testowy, w wyniku którego uzyskamy graficzną sesję VNC pozwalająca nam na swobodne kontrolowanie docelowego systemu:
Tak wygląda natomiast graficzna sesja nawiązana w wyniku udanego ataku:
Microsoft dopiero pracuje nad poprawką mającą zamknąć powyższą lukę, możliwe jest jednak zastosowanie tymczasowego środka zaradczego w postaci wyłączenie obsługi protokołu HCP. Można tego dokonać usuwając klucz HCP z gałęzi HKEY_CLASSES_ROOT systemowego rejestru. Spowoduje to jednak brak obsługi odnośników typu hcp://.

Reasumując, okazało się, że zawzięta rywalizacja i konkurencja pomiędzy wielkimi korporacjami wcale nie musi oznaczać dla klientów wyłącznie samych korzyści. Oto bowiem w wyniku rywalizacji, bezpieczeństwo klientów Microsoftu zostało zagrożone kolejną luką Zero Day. W całej sprawie najciekawsze jest teraz to, czy specjaliści z firmy Microsoft zrewanżują się internetowemu gigantowi odnalezieniem i upublicznieniem jakichś luk w jego technologiach?