20:35
17/2/2011

Znaleziono nową dziurę w “starszych” systemach Windows. Pozwala ona na zdalny atak DoS oraz może prowadzić do przejęcia kontroli nad systemem ofiary.

BowserWriteErrorLogEntry()

Podatność (przepełnienie sterty) znajduje się w funkcji BowserWriteErrorLogEntry() w sterowniku mrxsmb.sys wykorzystywanym przez protokół SMB. Informacja o błędzie pojawiła się na liście Full Disclosure.

Ballmer

Secunia oraz Vupen, jako podatne na atak systemy wymienia Windows Server 2003 SP2 i Windows XP SP3. Z kolei Microsoft potwierdził, że jego pracownicy już rozpoczęli analizę błędu, dodając, że zdalne wykonanie kodu jest możliwe tylko na systemach 64-bitowych.

Atak i Ochrona

Aby przeprowadzić atak należy przesłać do ofiary żądanie Browser Election ze zbyt długim ciągiem Server Name. Aby uchronić się przed atakami. sugerujemy to co zwykle w przypadku SMB: filtrowanie portów 138, 139 oraz 445 po UDP i TCP.

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. #correction Bowser?

    • Programiści widocznie za dużo w Mario grali ;)

    • W Windowsie jest bowser.sys — nawet jest zamieszczony w xscreensaverze BSOD.

    • No tak, jak to jest w protokole SMB, to wiadomo, że Bowser też musi być ;)

  2. “przepełnienie sterty”… Niby to poprawne, ale “stosu” to chyba to samo, nie? Bo tego się używa najczęściej… pytam tak dla pewności :P

    • Sterta a stos to dwie różne rzeczy. ;)

    • Rzeczywiście, wyszukałem i masz rację – sorry (-;

  3. @vi.curry:
    Przepraszam ze sie czepiam, ale taka drobna literówka:
    BowserWriteErrorLogEntry() -> BrowserWriteErrorLogEntry
    w pierwszym nagłówku akapitu. Tak mnie lekko razi.

  4. A nie. Moj blad. Sorry za faux pas.

    • Chyba spora część czytelników (ze mną włącznie) pomyślała dokładnie o tym samym ;)

  5. Jeżeli prawdą jest to, że dziura jest do wykorzystania jedynie na systemach 64 bitowych to właściwie nie mamy celów obecnie. XP w wersji 64bitowej był i jest białym krukiem, a NT nie jest już używany właściwie przez nikogo.

  6. Proszę opisać jak filtrować owe porty

    • a za ta wiedze sie buli pieniazki.
      na dodatek jak sie nie chce szukac, to po co wogole takie pajace wchodza tu?

  7. @DzM – ale Win2003 R2 x86-64 jak najbardziej…

  8. W tytule newsa piszecie o windowsie NT, a nie ma nigdzie informacji, by był podatny na atak. Windows server 2003 nie ma w nazwie NT, no chyba, że to wasz skrót myślowy;)

    • Wszystkie wersje windowsa (desktop/server) od XP w górę są potomkami systemu NT 4, więc mówi się, że jest to rodzina systemów NT.
      Jaką kolejną wersją NT jest które wydanie? Zerknij tutaj: http://goo.gl/nNErr

  9. Cały protokół SMB to chyba pomyłka :D
    W 2008 znaleziono podatność DoS na SMBv2 w viście, podatność na atak… teardrop…
    O ile dobrze pamiętam to atak rodem z początku lat ’90.

  10. A jesli system jest za comodo FW ? Czy uda sie przejac kontrole ? Chyba nie ?

    • Podaj IP, login i hasło firewalla i sprawdzę czy jest podatne. Tak na szybko nie umiem odpowiedzieć. Pozdrawiam

  11. Jak na onecie.

    @bns:
    admin/admin
    127.0.0.1

  12. p12i no tak dla kogos takiego jak ty pewnie kazdy jest noobem. Byc moze nie jestem profesjonalista ale pewna elementarna wiedze posiadam. Ty jak rozumiem bez zadnych problemow podasz swoje dane na otwartym forum i poczekasz na gosci. Bardzo inteligetnie. Jezeli nie znasz odpowiedzi na moje pytanie to po co zabierasz glos ?

    • Taki żarcik z tymi danymi :)
      http://uncyclopedia.wikia.com/wiki/Hacker#Example_of_how_destructive_hackers_are

      Szczerze odradzam przesyłanie przez Internet komukolwiek danych służących do autoryzacji.
      Skąd wiesz jakie intencje ma `pomagająca` osoba?

      Nie znam produktu Comodo, ale jeżeli jest to firewall i w konfiguracji masz zablokowany protokół SMB, to tak ustrzeże Cię to przed tego typu atakiem.

Odpowiadasz na komentarz DzM

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: