» »

Oddaljeni BSOD

Oddaljeni BSOD

CNet - CNET poroča o varnostni napaki, ki lahko napadalcu omogoči sesutje računalnika, na katerem teče Windows Vista oz. Windows 7, ter morda tudi na Windows Server 2008. Ker se napaka nahaja v Server Message Block 2 gonilniku, ki je v uporabo stopil šele z Windows Vista, starejši sistemi (npr. Windows XP, 2000) z napadom nimajo težav.

Gonilnik SMB2.SYS se sesuje in povzroči ponoven zagon sistema (oz. moder zaslon smrti, BSOD), če dobi popravljen header, ki zahteva vzpostavitev protokola. Napako je našel Lauernt Gaffié, ki je tudi že kontaktiral Microsoft. Uradnega popravka za varnostno luknjo, za katero komentarji na Gaffiéjevem blogu pravijo, da bi lahko omogočala tudi izvajanje zle kode, zaenkrat še ni, torej je rešitev onesposabljanje SMB2 protokola in z njim povezanih vrat.

35 komentarjev

bluefish ::

Malo več bi bilo lahko napisano o tem, kaj to pomeni za običajnega uporabnika. Verjetno nič?

c00L3r ::

Computer security publication "The H" wrote on Tuesday that its German sister publication had tested the proof-of-concept code, and that while the exploit had caused a reboot on Vista, the exploit had not worked on Windows 7.

Dejansko deluje samo na Visti. Na Windows 7 ne. Neve, sicer zakaj niso še na 2008 server preizkusili.

Matevžk ::

Ker je testiranje drago: najprej je treba kupiti OS ... ;)
lp, Matevžk

Xion ::

2008 server umre, Win 7 obe verziji (32 in 64 bit) preživi

Zgodovina sprememb…

  • spremenilo: Xion ()

MrStein ::

Win 2008 lahko dobiš zastonj pri MS. Vsaj nazadnje ko sem gledal je bilo tako.

torej je rešitev onesposabljanje SMB2 protokola in z njim povezanih vrat.

So kaki detajli glede tega?
Razen če se misli, da pustiš da dalje laufa, gor pa en firewall pokneš.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

ABX ::

Zadeva lahko dela samo v LAN-u. Koliko pa ima smisla firewall znotraj LAN-a pa je druga debata.

No, za zmagat na kakšnem LAN party zna pridet prav. :)
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

denial ::

SMB of Death :) Zadeva izgleda precej hudo. RCE je sicer mogoč vendar nič kaj enostaven. Metasploit trenutno ponuja le DoS/PoC.

Kaj to pomeni za navadne uporabnike? Ni panike če imaš firewall, ki blokira SMB na WAN segmentu (default). Mimogrede, tudi mnogi slovenski ISP-ji blokirajo TCP/UDP 445 promet na svojih routerjih.

Večja težava je pri LAN-ih, kjer je v Windows okolju SMB temeljni protokol. Vendar je tudi v tem primeru za uspešen DoS/BSoD potrebno omogočiti File sharing (default = off).

BSoD je potrjen na Visti/Server 2008. Zadeva naj bi delovala tudi na Server 2003 in Win7. Testiral sem Server 2003 R2 SP2 vendar je bilo "no go". Res pa gre za DC.

Lahko kdo poskusi (na lastno odgovornost) na Win7 ali Server 2003? Tukaj je PoC (python) + win binaries (4MB):
KLIK

PS:
MSFT trdi da zadeva ne deluje na Win7 RTM temveč le na Win7 Beta. Lahko kdo potrdi?
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Spc ::

In po takšni napaki si ms še vedno upa povedat, da je vista bolj varna od XPjev. :)
 

darkolord ::

Lahko kdo poskusi (na lastno odgovornost) na Win7 ali Server 2003?
Na 7 (RTM x86) mi ne uspe. Reče "It's done.", na drugi strani pa se nič ne zgodi.

Edit: na 2008 deluje. Seveda le prek LANa

Zgodovina sprememb…

SasoS ::

Nuke...jeeee. Spomnim se kako so mašine padale pri računalništvu, zakaj pa mi zdaj ne pride več na irc...lol

Drugače pa super ja, zato imam DC jaz na sambi. Superduper novi win2008 ti neko znuka, 5 točk za M$...

jan01 ::

Deluje tudi na win 2008 r2?

peachkovit ::

Poskusil nukat Win7 v vmwareu in nena gre.

* Firewall in UAC onemogočena
* File And Printer sharing v lastnostih mrežne omogočen

Celo Homegroup sem naredu in joinu nanga obe mašini. Izgleda da Win7 niso ranljivi. Al pa jaz kaj narobe delam :)

denial ::

Windows Server 2003 not vuln. Kdor testira na Win7 naj prosim navede različico/build ter arhitekturo (32/64).

Avanture željni uporabniki Win7 naj PidHigh v PoC kodi zamenjajo z vrednostjo \x00\x31 ali \x00\x01 ali \x00\x02 in poskusijo srečo :)
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Spc ::

Windows Server 2003 not vuln

That's why we love Server 2003 :)
 

Looooooka ::

na Windows 7 kokr vidm NE deluje...dela pa na Windows 2008.In fact...ce posljes paket prek Wippiena xy klientu in mas jabber server na windows 2008...BSODA server...klient nekak ne.
Na lokalni mrezi nisem probal.

WhiteAngel ::

Stvar je zoprna le za podjetja in ustanove, kjer je veliko LAN uporabnikov (npr. bolnišnice) in kje kakšen port za vštekat prost. No, v Slo taka okolja itak še vsa uporaljajo XP. :)

fm13 ::

denial ::

MSFT security advisory: KLIK

Check affected and non-affected software section: KLIK

HDMoore (Metasploit) pa takole odgovarja na vprašanje ali je RCE sploh izvedljiv:
"Da, je izvedljiv, vendar hudo zajeban. Recimo da obstaja 65,535 vrat in le ena izmed njih mogoče vodijo na pravo mesto."


Kaj bomo prej ugledali: RCE exploit ali patch :)
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

jype ::

Če je rekel, da je izvedljiv, potem ga že drži v rokah.

denial ::

@jype:
Nak. Če bi HDM exploit že imel bi ga tudi objavil. Vsekakor pa intenzivno dela na njemu :)
SELECT finger FROM hand WHERE id=3;

denial ::

@Looooooka
Če prav razumem ti je Server 2008 uspelo sesuti preko WAN-a?! Lahko nekoliko bolj podrobno opišeš postopek, zadeva zveni nadvse zanimivo.

EDIT:
Ah, I see, Wippien... VPN. Praviš da ne BSoD-a tarčo kateri si poslal SMB of Death paketek temveč čist neko drugo mašino?
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

bluefish ::

Pri Windows 7 so ogrožene le verzije pred RTM: http://www.neowin.net/news/software/09/...

denial ::

Working code execution exploit released. Local only (for now).
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

denial ::

R E M O T E

MSFT namerava ASAP objaviti OOB patch.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

c00L3r ::

denial, ne govorimo vsi špansko.

OmegaBlue ::

Pomeni, da je luknja, ki je prej omogočala samo remote BSOD sedaj zmožna pognati kodo na oddaljeni mašini (virus, whatever). In MS hiti da bo čimprej izdal popravek.

Lahko si za silo pomagaš s google translate.
Never attribute to malice that which can be adequately explained by stupidity.

Zgodovina sprememb…

pecorin ::

denial, ne govorimo vsi špansko.


ni problema, ker je napisano v francoscini :)

c00L3r ::

denial, ne govorimo vsi špansko.


ni problema, ker je napisano v francoscini :)

Odlično :D Zdaj sem se izdal da ne znam ne špansko, ne francosko.

denial ::

Metasploit released SMB2 module. Impact limited to LAN.



PATCH:
NONE

MITIGATION:
Disable SMB2
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • zavarovalo slike: gzibret ()

ABX ::

Nevarnost bo postala realna če bo ta exploit integriral kak virus.


P.S: Komaj čakam da bo windows v avtih. Te ne spusti mimo? Ni panike, BSOD. :)
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

OmegaBlue ::

Windows je že v avtomobilih, na srečo nima veze z upravljanjem.
Never attribute to malice that which can be adequately explained by stupidity.

ABX ::

Windows je že v avtomobilih, na srečo nima veze z upravljanjem.


Čaki da se razširi USB in Internet podpora, potem bo štala.
Vaša inštalacija je uspešno spodletela!

OmegaBlue ::

Tudi to je že vse, samo stika z upravljanjem samega vozila nima veze.
Never attribute to malice that which can be adequately explained by stupidity.

ABX ::

Tudi to je že vse, samo stika z upravljanjem samega vozila nima veze.


Ne še. Pa na ker je to prav, ampak vemo kako to konča.
Vaša inštalacija je uspešno spodletela!

PrimozR ::

Windows je že v avtomobilih, na srečo nima veze z upravljanjem.

Dej raje razmišljaj kako pohekat to ;)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

SMB povezava Winows 10 s Synology NAS

Oddelek: Operacijski sistemi
323312 (2578) dukedl
»

Ali je Windows 7 zaščiten pred Wanna Cry virusom?

Oddelek: Operacijski sistemi
72039 (1718) MrStein
»

Ubuntu mreženje

Oddelek: Operacijski sistemi
111861 (1549) b3D_950
»

Oddaljeni BSOD

Oddelek: Novice / Varnost
355028 (2915) PrimozR
»

SMBus oziroma I2C bus konektorji na maticni..?

Oddelek: Pomoč in nasveti
61010 (910) TESKAn

Več podobnih tem