» »

0-day varnostna napaka v MS Word

1 2
3
»

shadow7 ::

@jeje997:

S sysinternals.com si potegni psexec.exe (ali kompleten pstools) in naredi ter poženi naslednji .reg fajl:
-----8<---------------------------->8-----
Windows Registry Editor Version 5.00

;Open as LIMITED user
[HKEY_CLASSES_ROOT\exefile\Shell\luser]
@="Run as LIMITED user"
[HKEY_CLASSES_ROOT\exefile\Shell\luser\command]
@="\"%%SystemRoot%%\System32\psexec.exe\" -dl \"%1\""

[HKEY_CLASSES_ROOT\Msi.Package\Shell\luser]
@="Run as LIMITED user"
[HKEY_CLASSES_ROOT\Msi.Package\Shell\luser\command]
@="\"%%SystemRoot%%\System32\psexec.exe\" -dl \"%%SystemRoot%%\System32\msiexec.exe\" /i \"%1%\" %*"
-----8<---------------------------->8-----
S tem bos ob desnem kliku na .exe ali .msi dobil možnost "Run as LIMITED user"

(tega, kam moraš skopirati psexec oz. kaj moraš v fajlu popraviti, da bo kazal na ta fajl mi menda nekomu, ki to sprašuje ni treba razlagat.) ;)

Microsoft ::

Run As dobis tudi tako, da drzis Shift, pa pol kliknes z desnim gumbom gor.

BigWhale
Ne ves tudi, da bi lahko nekdo od zunaj dostopal do mail streznika lastnega podjetja, ter bi zaradi tega imel tako nastavljen from.

To ne drzi, ker to ni problem, saj ga lahko z lahkoto resis. Pa se cisto preprosto je. Dva locena SMTP Virtual serverja (ja, to je lahko vse na eni skatli) imata razlicno nastavljen authentication; priv recimo dovoli samo Basic Authentication, drugi samo Anonaymous. In potem "na" prvem SMTPju ne filtriras doc-ev, na drugim pa.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

BigWhale ::

Miha,

Ne razumes me, res me ne razumes. Nisem govoril o tem, da bi bilo potrebno zamenjati MS Office s cim drugim. Sploh o resitvi nisem govoril. Mogoce je problem samo v tem, da ti jaz ne znam na pravilen nacin razloziti v cem je tezava. Bom se enkrat poizkusil.

Ko se najde taka v bistvu precej huda luknja, je patch potrebno izdati TAKOJ. Ne drug teden, ne cez 14 dni, ko se vse stestira ampak potrebno je izdati stvar takoj. Cim prej! Stvar mora pa biti stestirana do te mere, da vecini uporabnikov ne povzroca tezav.

Zdaj, v kakem core delu sistema to lahko predstavlja tezavo in pride do konfliktov z drugimi zadevami in potem kaj drugega crkne, vsekakor. Ampak v enem 'ofisu'? Ce v enem ofisu nekaj popravis, ti bo sam sistem se vedno delal (no, ce ne bo, potem imas res fucked up platformo). Je pa vse skupaj stvar organizacije in designa. Ce je dober design, potem ti en tak patch bolj tezko pokvari nek nerelevanten del sistema.

PS: Tudi o SMTPju se imas se marsikaj za nauciti. :) Sploh o open relay serverjih. ;)

Microsoft ::

Ok, vse vredu. Samo zadnji odstavek pa ne morem spregledat. Vem kaj si s tem mislil. Samo sem preprican, da stvar ne drzi. Server lahko oz. v veliko primerih tudi omogoca anonymous autentikacijo, samo relay za takega uporabnika ni dovoljen (oz. je samo za domeno, katero ta server gosti oz. po zelji).
Uporabniki, ki so se primorani prijaviti (Basic Authentication) in pridejo na server preko recimo POP3, pa imajo omogocen relay, sicer ne bi mogli od doma posiljat mail nikamor drugam, kot tistim v podjetju (ce predpostavimo, da relay ni omogocen kamorkoli za anonymous).

Tko nekako.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

Ziga Dolhar ::

MrStein: 'vse', kar sem naštel, lahko 'virus' pod mojim računom naredi, da, _ampak le v okviru mojega [neadministratorskega] računa_. Kot na Linuksih :).

Če mi zjebe uporabniški profil, je to pač minimum tveganja, ki ga imam pri delu z računalom. Tri minute za 'restituirat'.

p.s.: računalnik mi lahko ugasne zgolj zato, ker sem si eksplicitno drznil dat to pravico ... po defaultu je namreč nima noben uporabnik.
https://dolhar.si/

Zgodovina sprememb…

pecorin ::

ziga dolhar:
Če mi zjebe uporabniški profil, je to pač minimum tveganja, ki ga imam pri delu z računalom. Tri minute za 'restituirat'.

ja seveda to ni problem, ce racunalnik uporabljas za igrice in irc..

kaj pa ce racunalnik uporabljas za resne stvari? v sluzbi? kjer imas pomembne in zaupne podatke.. s tem exploitom ti jih brez problema ukradejo/unicijo. in je tudi narejen tocno za to.

lahko iscete izgovore kakorkoli, dejstvo je, da je ta napad velika groznja za podjetja. niti patch se ne obstaja in bog ve kdaj ga bodo izdali..

Ziga Dolhar ::

Well, če imam jest za "irc in igrce" bolj porihtano backupiranje oz. mirroranje na AD, pol znaš imet res precej žalosten IT department v službi :).

p.s.: "zaupne podatke" v domeni uporabniškega profila? Ouch.

Sicer pa -- če nisi admin, takega eksploita tudi ne fašeš kar tako.
https://dolhar.si/

Microsoft ::

pecorin, dost vecji problem je kraja informacij, kot pa brisanje. Resne informacije oz. dokumenti so bekupirani. Ce niso, potem to niso resni dokumenti.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

pecorin ::

microsoft: saj sem napisal "ukradejo"...

ziga: saj sem napisal "ukradejo". kaj ti pomaga backup ce ti kaj vrednega ukradejo.
vecina uporabnikov itak uporablja admin account na win. ampak tole zdaj pozabimo. koliko jih pa potem se ima podatke shranjene na varnem mestu in ne na svojem uporabniskem racunu? 0.5% tistih, ki ne uporabljajo admin accounta? vecina jih vse na desktop zmece..

se druga stvar. ta exploit se lahko uporabi, da na navadnem racunu pozene en local root exploit. ne mi reci, da jih ni.. ker tega(ceprav ni root) je nekdo nasel. in ta exploit ni bil reverse engineeran iz patcha..

Matevžk ::

"zaupne podatke" v domeni uporabniškega profila? Ouch.

Nekdo v nekem profilu ima dostop tudi do teh. Recimo direktor. In ta je verjetno najbolj računalniško izobražen in nikoli ne odpre nobene priponke. Še posebej, če ima naslov nekaj zveze z nekim poslovnim poročilom ...
lp, Matevžk

darkolord ::

Um, sej fajli se na filterjih/antivirusih navadno kar veliko blokirajo... Nej si kdo proba poslat mail z *.hta, *.scr, *.vbs, the_fly.* attachmenti...

Microsoft ::

Koliko jih pa potem se ima podatke shranjene na varnem mestu in ne na svojem uporabniskem racunu?

Vsi!!! Ne pozabit, da so napadi usmerjeni na velika podjetja, kjer si lahko brez skrbi, da bi imeli razne pomembne dokumente razmetane po vseh mogocih lokacijah. Plus to, da imajo te podatke bekupirane.

Skratka, brisanje pomembnih podatkov ne predstavlja vecega problema. Bolj resno je treba gledat "izliv" teh informacij, kot brisanje.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

BigWhale ::

Darko,

> Um, sej fajli se na filterjih/antivirusih navadno kar veliko blokirajo... Nej si kdo
> proba poslat mail z *.hta, *.scr, *.vbs, the_fly.* attachmenti...

Ja, in to je obscurity. Jaz si .sh datoteko povsem brez problema posljem po mailu... :)

Roadkill ::

Folk ocitno selektivno noce razumet lajna "Security through obscurity".
Evo, da ne bo vec izgovorov: Security through obscurity @ Wikipedia

Se malo pa bo Microsoft kar priporocil, da winsew sploh ne zazenete. Tako se izognete nevarnostim katere na vas prezijo na internetu.
Ü

amigo_no1 ::

@MrStein
foruma tudi v web.archive.org ni več, kajti za čisto vsak link mi napiše:
Not in Archive.

primer:
Problemanfragen
Klik

denial ::

Microsoft Security Advisory
eEye Advisory

offtopic: Least-privileged User Account (LUA) in practice...
SetSAFER
DropMyRights
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

BigWhale ::

SetSAFER sem najprej prebral kot SetSAFR
;>

amigo_no1 ::

@shadow7
Tvoja rešitev izgleda obetavno , toda zakaj se potem npr. notepad ali calc še vedno zažene kot admin (vsaj tako je videti v task managerju ; pod kolono "User name") ?
--------------------------

Pozabil sem omeniti v sporočilu na strani2 (moje zadnje sporočilo; Poslano: 22.05.2006 14:14:34), da če (v win xp) ročno vpišem LIMITED_user uporabiško ime v ukazu runas -> "The following user" , mi winsi zatežijo z Error (1327)...
rešitev je tule:
http://forum.adiscon.com/ptopic,3603.ht...


Change
HKLM\System\CurrentControlSet\Control\Lsa\limitblankpassworduse
from 1 to 0


Da bi pa vsakič ročno vnesel LIMITED_user uporabiško ime (v "The following user") , sem pa prelen.

Moja rešitev:
--**--
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\Shell\luser]
@="Run as LIMITED user"
[HKEY_CLASSES_ROOT\exefile\Shell\luser\command]
@="runas /user:LIMITED_user %1"
--**--
(spremeni LIMITED_user v ustrezni account, ki ima LIMITED_user pravice)

------------------------------
EDIT:
Izgleda da dela:
v konzoli sem napisal (prijavljen kod admin): psexec -d -l rundll32.exe Shell32.dll,Control_RunDLL sysdm.cpl
(ali krajše: psexec -d -l control.exe sysdm.cpl )
in so nekatere pomembne nastavitve zamrznjene :)

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

shadow7 ::

Ja, delaš kot isti user, ampak z manj pravicami. Je isto, kot da bi kliknil "run as..." in izbral "protect my computer and data ..."
Explorerja mi ne uspe pognati na tak način, ker deluje z nezmanjšanimi pravicami. Total commander pa je precej omejen.

Skeptičen sem edino v kolikor se ne bo v tem načinu pokazala kakšna luknja in program dejansko ne bo pognan z nezmanjšanimi pravicami.

Glede tega je pač še zmeraj recept, da delaj kot user in po potrebi poženi kar je treba kot administrator. Hudič je le, ko se najdejo programi, ki delajo samo za uporabnika, ki ga je instaliral, instalira ga pa lahko samo admin. :( In potem mu dodeliš admin pravice, se logiraš kot on, instaliraš, ga pozabiš odstraniti iz admin grupe in čez mesec gledaš, kaj kako hudiča mu je gratalo kot userju inštalirat paar zadev. :O

MrStein ::

Glede DropMyRights :
ta tema je bila obdelana v eni večjih nemških računalniških revij ( c't) in ne priporočajo DropMyRights in vse podebne zadeve, ki temeljijo na ideji "pijavljen kot Admin, nekatere programe laufa z zmanjšanimi pravicami". Problem je namreč, da lahko ti programi z zmanjšanimi pravicami upravljajo preostale pognane programe, na primer explorerju (ki je itak vedno pognan), povejo "skopiraj C:\temp\evil.exe v C:\docs&sett\admin\startup".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

shadow7:
Explorerja mi ne uspe pognati na tak način, ker deluje z nezmanjšanimi pravicami. Total commander pa je precej omejen.

Explorer je po defoltu "imun" na runas.

Rešitev 1 :
- Control Panel / Folder options / View , vklopiš "Launch folder windows in separate process"
(sicer se v resnici sploh ne požene novi explorer, ampak obstoječa instanca le odpre novo okno, vse seveda v okviru istega procesa, ki laufa kot prijavljen user)

Workaorund 2 :
- poženeš notepad z runas, klikneš File / Open (oziroma ctrl-o) in dialog ki se pojavi je v bistvu 99% polnovreden explorer 8-) (sicer malenkost bolj neroden UI, ampak lahko narediš praktično vse)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

64202 ::

Za tiste, ki so navdušeni nad run-as :)
Shatter attack - Wikipedia, the free encyclopedia
I am NaN, I am a free man!

denial ::

@MrStein

call me dumb, ampak nekako ne razumem kaj želiš povedati. Da lahko s pomočjo nepriviligiranih programov kompromitiraš sistem? Zelo mogoče, vendar, verjetno se strinjaš, da je s pomočjo priviligiranih aplikacij zadevo še veliko lažje izpeljati. Ne trdim, da je LUA koncept idealen. Daleč od tega. Tudi AV/IDS/IPS/Firewall/AntiSpyware... niso, pa jih vseeno uporabljamo. LUA je le dodaten nivo zaščite, ki IMHO, več kakor zadovoljivo upravičuje svoj namen.
SELECT finger FROM hand WHERE id=3;

MrStein ::

Želim povedat, da DropMyRight uporabljen nad sumljivimi programi ne pomaga preveč.
Vsaj takrat ne, ko bodo zlobneži ciljali na tako publiko (sedaj itak 90% ljudi dela kot admin in preostalih 10% ne igra vloge za temo malware).

Z drugimi besedami : Če dobiš sumljiv program in ga ne poženeš direktno ampak preko DropMyRights, potem nisi dosti profitiral.

To želim povedat, nič več, nič manj.

Glej tudi omenjeni shatter attack.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
1 2
3
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Problem s stranjo - pošilja spam

Oddelek: Izdelava spletišč
101275 (794) Ales
»

Računalnik crknil sredi dela

Oddelek: Pomoč in nasveti
182263 (1829) Duhec
»

0-day varnostna napaka v MS Word (strani: 1 2 3 )

Oddelek: Novice / Varnost
12312996 (9530) MrStein
»

virus in OS (strani: 1 2 3 )

Oddelek: Loža
1276884 (5473) krneki0001

Več podobnih tem