| | ||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||
|
NETBSD 1.4.1 LOCAL ROOT, WIN2000 FLAWНаконец-то вышедшая Windows 2000 уже на стадии инсталяции становится уязвимой для удалённого вторжения. Во время инсталляционного процесса кто угодно может подключиться к совместному ресурсу ADMIN$ как ADMINISTRATOR без пароля. Проверить данный факт весьма просто: % ./smbclient \\\\WINDOWS2000\\ADMIN$ -I xxx.yyy.zzz.ttt -U 'administrator' -d 0 -N Unable to open configuration file "/usr/local/samba/lib/smb.conf"! pm_process retuned false Can't load /usr/local/samba/lib/smb.conf - run testparm to debug it Domain=[GROAR] OS=[Windows 5.0] Server=[Windows 2000 LAN Manager] smb: \> (smbclient - часть package SAMBA (http://www.samba.org). Об уязвимости сообщил Stephane Aubert [Stephane.Aubert@HSC.FR] NetBSD 1.4.1 и procfs (NetBSD Security Advisory 2000-001) Совсем недавно вы могли читать о ошибке в procfs под FreeBSD, которая могла привести к элевации прав локального пользователя до рутовских. Итак, было проверено, что схожая уязвимость присутствует и в NetBSD. Файловая система procfs даёт возможность просмотра и изменения ресурсов процессов в папке /proc/[proocess pid]/. Один из данных ресурсов - образ процесса в памяти. Чтение и запись в данный файл ограничены. Но, путём передачи параметром suidному исполняемому, можно заставить данный suid binary осуществить запись в требуемый нам memory image, и, как правило, вторженец будет преследовать цель - заставить memory image другого suid'a исполнить шелл (который, естественно, будет шеллом с uid=0). В конфигурации NetBSD по умолчанию поддержка procfs не используется. Доступ к /proc/[pid]/mem ограничивается функцией procfs_chechioperm() в модуле sys/miscfs/procfs/procfs_mem.c. Несмотря на её наличие, функция позволяет начать работу с образом памяти, если uid пишущего процесса равен 0. Если используемый хакером процесс можно использовать так, что он создаст дескриптор файла, указывающего на открытый /proc/[pid]/mem, то данная проверка не отловит записи в память. Один из путей проделать это - открыть /proc/[pid]/mem, скопировать данный дескриптор во второй дескриптор, найти в нём корректный адрес стека, исполнить какое-либо suid-исполняемое, и использовать его для записи сообщения об ошибке, которое содержит шелл-код. Итак, если атакованная программа являлась suid, то произойдёт перезапись стека, и исполнение шелла, дающего хакеру uid=0 (root). NetBSD выпустило патч, ликвидирующий данную уязвимость. Патч досутпен с ftp://ftp.NetBSD.ORG/pub/NetBSD/misc/security/patches/20000130-procfs. Если по каким-либо причинам не удаётся скачать/установить патч, рекомендуется немедленно отключить procfs, путём удаления всех содержащих строку procfs строк из /etc/fstab. Группа разрабочтиков благодарит Jason Thore и Charles Hannum за помощь в разработке фикса. duke
|
