Обзор эксплойтов

Докучаев Дмитрий aka Forb

Xakep, номер #065, стр. 065-059-1

(forb@real.xakep.ru)

Serv-U FTPD remote overflow exploit

Описание:

Любопытно, что уже третий месяц подряд выходят различные эксплойты для FTP-сервера «U FTPD». Это объясняется популярностью FTP’шника среди варезников-виндузятников в локальных сетях. Если прошлые эксплойты были направлены на команду CHMOD, то вышедшая новинка получает шелл с помощью неверно переданного параметра к MDTM. Эта команда отображает время создания файла. Баг заключается в том, что размер этого файла не может превышать 256 байт. Когда хакер передает слишком длинный аргумент, происходит переполнение буфера. В этом случае может быть два варианта. Либо осуществится корректная передача шеллкода (с последующим открытием порта), применимого для определенной OS, либо сервис просто уйдет в даун.

Защита:

Эксплойт вышел недавно, и перед ним не устоял даже SERV-U последней версии. Поэтому защищайся только файрволом... или временно откажись от Serv-U и жди новых релизов на сайте www.serv-u.com.

Ссылки:

Рабочий эксплойт с целями для Win2k/XP находится здесь: www.security.nnov.ru/files/ex_servu.c. С подробным описанием бреши можешь ознакомиться тут: http://security.nnov.ru/search/document.asp?docid=5676.

Злоключение:

Уязвимость представляет повышенную опасность. Учитывая, что добрая половина локальных юзеров не отрубают доступ anonymous’а к ресурсам, любой хакер может порулить компом зазевавшегося юзера. Поэтому, повторяюсь, только грамотно настроенный файрвол способен защитить тебя от злоумышленников.

Greets:

Нехитрую багу обнаружил чувак с ником bkbll (bkbll@cnhonker.com). Что касается самого сплойта, то он был написан кодером Sam (Sam@0x557.org). Местоположение этих ребят остается неизвестным :).

IIS 5.0 + SSL remote DoS exploit

Описание:

Критическая уязвимость была найдена в модуле IIS 5.0, а точнее в библиотеке, обрабатывающей SSL-соединения. Если верить багтраку, то любой желающий может создать специально обработанное SSL-сообщение, которое заставит модуль прекратить обслуживание новых подключений. Не буду вдаваться в техническую часть баги, лишь скажу, что эксплойт под названием sslbomb.c за несколько секунд убивает SSL-модуль в IIS. Правда, на Windows 2003 прекращение работы SSL влечет за собой еще и дополнительный ребут, что было проверено лично мной ;).

Защита:

13 апреля Microsoft выпустила специальный патч, исправляющий 14 новых уязвимостей. В том числе и брешь в модуле SSL. Все линки, по которым ты можешь слить исправление, представлены на странице www.securitylab.ru/44490.html.

Ссылки:

Рабочий эксплойт выложен на многих порталах, в том числе и на Секлабе (www.securitylab.ru/_Exploits/2004/04/sslbomb.c). Помимо данной SSL-баги, в протоколе найдены другие недоработки. Прочитай статью http://packetstormsecurity.nl/0403-advisories/eEye.iss.txt и ознакомься с ними.

Злоключение:

Как ни странно, очень мало админов пропатчили свой IIS. Это доказывают множественные атаки на корпоративные серверы. После подобных нападений протокол SSL уходит в ступор и не возвращается до спасительной перезагрузки. Если ты админишь сервер под виндой, позаботься о здоровье своего IIS.

Содержание  Вперед на стр. 065-059-2
ttfb: 31.486988067627 ms