Továbbra is sebezhető az IE

Internet, Közösségi média

Június 24-én a Microsoft arról számolt be, hogy sikerült fixálnia a Download.Ject. névre keresztelt hibát, amely segítségével a Hangup Team névre hallgató orosz cracker csoport több gépre is backdoor programot telepített.

Sajnos kiderült, hogy a patch nem sokat ér, mert egy holland biztonsági szakember pár órával később működő exploitot tett közzé honlapján.Jelmer Kuperus azt állítja, hogy a birtokában van egy olyan kód, amellyel egy teljesen felpatchelt Internet Explorer is sikeresen támadható. A kód a Download.Ject. erősen módosított verziója. A kód a Microsoft Windows egy másik komponensét támadja, nem azt, amelyre az MS a patchet kiadta (ADODB.Stream). Kuperus azt állítja, hogy az exploit segítségével egy teljesen felpatchelt Windows gépbe is be tudnak törni a támadók.

A Shell.Application névre hallgató Active X komponens támadásával a rosszindulatú támadók ártó kódot juttathatnak az áldozat számítógépére. A szakember, hogy bizonyítsa az exploit működését, a saját honlapjára töltötte fel az ártó kódot. Azok az internetezők, akik Windows XP-vel és IE-vel böngészték a weboldalt azt tapasztalták, hogy a gépük ``megfagyott''.

Bővebben itt, és a WinNetMag oldalain itt.

Ez mind szép és jó, de amíg a jószerivel "tervezési hibás" RPC-n verik keresztül

az egész rendszert, addig ez önmagában kevés...

meg aztán sz'Tem a win-es FS-ekről nagyon hiányzik egy noexec opció is...

Ráadásképp ha jól olvastam valahol, hogy valami olyasmi lesz, majdan, hogy az összes rendszerszervíznek

csinálnak egy külön felh. fiókot, és az fogja kezelni az összes hálózati szervízszolgáltatást...

nekem erről az inetd daemon jutott eszembe. .

Az RPC nem tervezési hibás, hanem implementálás hibás. :) Overflowkat nem terveznek semmibe... :P

Azt meg nem is értem, hogy mi azzal a baj, ha minden szervíz külön userrel fut (erre várok én már windowsnál mióta), nálad nem ugyanez van linuxon? (postfix user, exim user, www-data user, postgres user, mysql user, sshd user, ...)

Egyszerű. Telepítettél mostanában Windows XP-t? Annyit csinál default telepítéskor, hogy kér egy jelszót (ez lesz az elsőnek létrehozott Administrator/Rendszergazda) felhasználó jelszava, aztán bekér max 6 további felhasználót, akik a gépet használni fogják, és létrehozza ezeket _alapértelmezésként adminisztrátori jogosultsággal_. (!)

Az eredetileg létrehozott Administrator accountot a viszonylag könnyen megtalálható user administrator részben nem is látod, és jogosultságban is csak annyit tudsz állítani, hogy korlátozott felhasználó vagy rendszergazda csoportban legyen egy adott account. Ahhoz, hogy megtaláld a sokkal normálisabb felhasználókezelő részt, amelyben már tényleg állítani tudod a különféle csoporthoz tartozást, már jobban el kell kezdened keresni a lehetőségek között. Egy átlagos windows felhasználó ezt nem találja meg, még csak nem is tudja, hogy van ilyen, mert az MS nem veri nagydobra.

Ezt összevetve egy Debian telepítő elég erőteljesen az orrod alá dugja, hogy hozz létre egy normál jogosultságú felhasználót, és felhívja a figyelmet, hogy lehetőleg azt használd mindenre, ami nem igényel rendszergazdai jogosultságot. Ha ehhez hozzávesszük, hogy pl. egy normális MTA a rootnak egyszerűen nem _hajlandó_ levelet sem kézbesíteni, a dolog még inkább arra szoktat, hogy a gépet alapvetően nem rendszergazdaként használjuk, egy MS rendszerben pedig inkább az ellenkezőjére.

RPC ügyében legyen igazad. -)

Akkor is asz'ondom picsán kéne rúgni, akinek ez az elvetemült ötlet eszébe jutott, hogy

RPC milyen fasza dolog, verjük rajta keresztül a windowst.

/ Vannak még ilyen dilijeik, amik az agyamra mennek, pl. az acpi, és az apm kezelése (=energiagazdálkodás). /

Azt meg nem is értem, hogy mi azzal a baj, ha minden szervíz külön userrel fut (erre várok én már windowsnál mióta), nálad nem ugyanez van linuxon?

Félreértettél...Én úgy hallottam azt tervezik, hogy egy userrel viszik az összes szervízt, csak az nem a SYSTEM lesz, hanem csinálnak valami speckós usert, és azon az egyszem darabon verik keresztül az összeset -)). / ezért mondtam hogy nekem az inetd jut róla eszembe /

Nem azt, hogy külön mindnek lesz egy. (mint ahogyan linuxon "használjuk")...

Egyébként most is kisérletezhetsz azzal, hogy a Control Panel/Servicesben beállítasz egy másik usert akinek a kódjával fut egy egy adott service, csak nagy kérdés, hogy az adott szervízt hogy írták meg, mennyire támogatja ezt a megoldást...

( whitehawk v | 2004. 07. 08., cs – 21:52 )

Szép meg jó, de aki *nix rendszert használ az valószínüleg tudja, hogy az IE gagyi, de aki nem használ, az szerintem HUPot se olvas, és nem jut hozzá el az ilyen. Mert nézzük meg pl a SuperGamez (ál)"tudomáynos és hírmagazint".....

Mióta ennyi IE hír jött ki vajon változott a böngésző összetétel? Itt a HUPon mi tapasztalható?

( fidusz | 2004. 07. 08., cs – 22:38 )

En ugy tudom, nem a hibat javitotta az MS, hanem csak az ezt kihasznalo exploit mukodeset gatolja meg a patch. Viszont barki barmikor irhat egy uj programot, amivel kihasznalhatja a hibat.

( Hunger | 2004. 07. 08., cs – 23:07 )

Nem vagyok MS Security Expert, ezért kicsit óvatosan írom az alábbiakat, de:

1. Szerintem az aktuális exploit(ok) csak akkor működnek, ha a felhasználó rendszergazdai jogosultsággal futtatja az explorert (rootként böngészget valaki az interneten Linux/BSD alatt? Akkor rendszergazdaként miért internetezik bárki is Windows esetében?)

2. Korlátozott felhasználóként internetezve a weboldalak ugyanúgy betöltődnek, mégsem írhat felül ártó szándékú kód fontos rendszer fájlokat, nem épülhet be a registrybe.

3. Ha korlátozott felhasználóként is sikerül a rendszerbe épülnie egy trójainak vagy bármilyen programnak, akkor az olyan hibát/kiskaput használ ki, mely jelenleg nem ismert és ilyen bármelyik más rendszerben is előfordulhat, nem csak a Win/IE páros esetében.

Tévedés ne essék, én nem próbálom védeni a Microsoftot, egyszerűen úgy gondolom, hogy ha más rendszer és más böngésző lenne a leghasználtabb, akkor azokra jönne ki a legtöbb hiba. Valószínüleg a DOS-ra sem azért nem jönnek ki a hibák, mert annyira jól van megírva, ugye? :) Lehet flamelni... :P

Egy win9x rendszeren nincs külön Administrator ott szerintem bármit lehet. Vagy rosszul tudom.

Jut eszembe, bárhol voltam eddig kb, a win2k/xp nyilvános helyeken mindig le van korlátozva. Nem lehet böngészni a könyvtárakat stb. Viszont ha nyitok egy IEt és megadom az elérési utat egy progihoz, mert mondjuk tudom, h hol van akkor máris működik. A rendszergazda a bal*****, vagy a rendszer vicces??

> Akkor rendszergazdaként miért internetezik bárki is Windows esetében?

Mert hulyek. Meg mert egy windowz, ill. egy windozos program nem tolja allandoan a juzer kepebe, hogy 'ne rootkent indits el te barom!'.

Egyik ismerosom -- mellesleg egy (el)ismert informatikai portal szerkesztoje -- 'nem lat okot arra, hogy ne adminkent hasznalja a gepet'. Merthogy 'van tuzfal, van viruskergeto, megfogjak, ha van valami'. Ja, es IE-t hasznal, mert a tobbi bongeszoben ez*****, az*****. Mondjuk ez meg marcius-aprilis korul volt, lehet, hogy azota valtozott a velemenye:)

BTW imho a Microsoft is sokat tesz azert, hogy mindenki adminkent nyomja.

Kiadtak egy workaround-ot, ami ``javitja'' a Download.Ject. szart.

>Viszont barki barmikor irhat egy uj programot, amivel kihasznalhatja a hibat.

Mert ha kijavitja, akkor nem irhat valaki mast? Nevetsegesnek tartom, hogy cirka 1 honap alatt nem birtak egy olyan hibat kijavitani, ami az _osszes_ Windows szamitogepfelhasznalot erinti. Ezt az MS szupportot a hajara kenheti minden MS addict.

> 2. Korlátozott felhasználóként internetezve a weboldalak ugyanúgy betöltődnek, mégsem írhat felül ártó szándékú kód fontos rendszer fájlokat, nem épülhet be a registrybe.

Itt egy ActiveX hibáról van szó. Az meg ugye direkt hozzáférést nyújt a programoknak a hardware felé, hogy minél hatékonyabban törhessék fel ActiveX hibákkal a rendszert. Vagyis ezt értsd úgy, hogy kb. egy local root exploitot találtak, aminek a kihasználásához az IE futtatása/futtathatósága szükséges.

>BTW imho a Microsoft is sokat tesz azert, hogy mindenki adminkent nyomja.

voltam olyan MS security tanfolyamon, ahol azzal kezdodott a az egesz, hogy vege az administratorkent valo szamitogep hasznalatnak, es minden secondary logon (runas) bigyoval lesz futtatva. a tanfolyam felenel a csoka feladta, mert voltak bizonyos dolgok, amelyeket nem birt igy megcsinalni. de day-to-day use-ra igy kellene a gepeket hasznalni. nem a windowssal van baj, hanem a felhasznaloinak a felfogasaval. szoval az MS probalja okitani az embereket.

Igen, és néhány dolgot nem nagyon lehet megcsinálni sima júzerként. Nézzünk pl egy olyan sima feladatot, mint a júzernél beállítani, hogy az UPS hány %-os töltöttségnél kapcsolja ki a gépet. Le van szürkítve. OK, akkor runas. Nem jó, így az admin beállítását tudom matatni, nem a júzerét :-)

A megoldás, amire rájöttem: átmenetileg superuser jogokat adni a júzernek, beállítani a beállítanivalókat, aztán leszedni a superuser jogokat. LOL

De azt pl, hogy hogyan kell sima júzerként letiltani/engedélyezni egy hálózati csatolót, a mai napig nem tudom, és egyetlen Windows guru sem tudta eddig megmondani. Addig pedig a rendszer számomra sima júzerként használhatatlan.

András

> Akkor rendszergazdaként miért internetezik bárki is Windows esetében?

Baromi egyszeru: A Win rendszerek alatt vannak dolgok, amik nem mukodnek sima felhasznalonak.

Hulyeseg, persze, de nincs mit tenni.

Elozo munkahelyen 3 evig korlatozott (==normalis, nem emelt jogosultsagu) felhasznalokent tudtam letezni. Ez szerintem jo dolog.

A mostani helyemen probalkoztam, bar elore figyelmeztettek, hogy nem fog menni. Itt majd 4 eve vagyok, ezalatt tobb kulonbozo projektben tobb kulonbozo program nem ment sima felhasznalokent.

Ha jol emlekszem, pl. a Checkpoint NG Dashboard nem ment, csak rendszergazda jogosultsagu felhasznalokent, ugyanigy a Rational Rose nem ment csokkentett jogokkal, stb.

Szoval a legjobb szandek ellenere is a rendszer rakenyszerit, hogy rendszergazdaval megegyezo tudasu felhasznalokent dolgozzak. Termeszetesen webezni sem fogok mas felhasznaloval, hiszen pl. su sincs, tehat ki kell lepni mindenbol, stb.

Nem sok Windows guruvel beszélhettél eddig... Én abszolút nem számítok annak, de egy rakás megoldást tudok a problémára, pl. simán parancssorban:

runas /user:administrator "netsh interface set interface disabled"

runas /user:administrator "netsh interface set interface enabled"

su nincs, de van RunAs... egyébként meg az, hogy egy third-party program nem fut máshogy csak admin jogokkal az nem azt jelenti, hogy a Windows *****, hanem, hogy a third-party program készítői baxták megcsinálni rendesen a programjukat. (Egyébként sok ilyennel találkoztam már én is, de a legtöbbnél azért sikerült megoldani, hogy menjen sima userként is, csak 1-2 helyre írási jogot kellett adni vagy hasonlók...)