| | ||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||
|
УЯЗВИМОСТЬ TREND OFFICE MICROSCAN Trend Micro OfficeScan - антивирусный сканер, который имеет развитую структуру клиент-сервер и управление сканированием на вирусы целой оффисной сети может осуществляться с одного центрального сервера. В процессе установки программного обеспечения, администратор может выбрать способ, которым в дальнейшем будет осуществляться управление системой: через веб-интерфейс, или же через специального клиента. Этот выбор может юыть осуществлёт позднее, а администрирование можно осуществлять после вызова локации http://target/officescan/ . Помимо прочего, пароль передаётся открытым текстом и может быть перехвачен любым пакетным сниффером. Строка для поиска в логах перехвата - "TMLogon=<password>" Большая проблема - любой пользователь, имеющий доступ к web-серверу, через CGI-интерфейс которого осуществляется управление, способен осуществлять функции администрирования вообще без какой-либо предварительной авторизации. jdkRqNotify.exe - это CGI-приложение, как раз и рассылающее команды хостам из контролируемой сети на начало/останов сканирования. Данное приложение вызывается с двумя параметрами, первый из которых - имя домена, а второй - код операции. Чтобы отдать команду ОfficeScan'у, установленному на удалённой машине victim.dom, необходимо отдать запрос http://victim.dom/officescan/cgi/jdkRqNotify.exe? domain=<имя домена>&event=<код операции> Типы когов операций: 11: Начать сканирование немедленно, 12: произвести деинсталяцию, 14: произвести откат, 16: задать новый прокси, 17: установить новую привилегию задачи сканера, 19: новый протокол, 20: новый клиент. ПЕРЕДАЧА КОМАНД FTP И ОТКРЫТИЕ ПОРТОВ ЧЕРЕЗ FIREWALL До недавнего времени установка на входе в сегмент сети файрвола была панацеей от всех бед: системному администратору более не приходилось пристально следить за появлением расшареных по netbios ресурсов на машинах, ввереных ему или же следить, чтобы не в меру ретивый персонал не ставил себе на машину сомнительные http или ftp-сервера. Оказывается, многие файрволы ( подробнее об их основных типах можно прочитать тут. ) плохо осуществляют фильтрацию траффика на уровне приложения (application layer). Поэтому, воспользовавшись этим, можно "просунуть" файрволу конструкцию, которая при дальнейшей передаче будет разбита на пакеты и выполнит своё истинное назначение. Итак, при получении браузером, находящимся за файрволом тега <img src="ftp://ftp.hive.dom/aaaa[...a...]aaaPORT 1,2,3,4,0,139"> происходит следующее = FTP-сервер получит команду RETR, исходящую из-за файрвола. После этого количество символов A cледует подобрать таким образом, чтобы команда PORT и явилась началом следующего пакета. В результате файрвол откроет 139 порт для адреса 1.2.3.4 (этот адрес так же передавался в команде PORT). После этого исполнение файрволом своих функций попадает под сомнение. Выявить внутренний адрес машины, на которую ведётся атака, довольно просто - послать на почтовый ящик, расположеный на известном хосте, письмо несуществующему пользователю и отследить по заголовкам путь почты; можно воспользоваться конструкциями JavaScript addr.getHostAddress(); В случае работы с Checkpoint firewall, которая проверяет все пакеты в командном потоке оканчиваются переводом каретки (CRLF), следует мрдифицировать "эксплоитящий" файрволл код следующим образом: src="ftp://ftp.hive.dom/aaaaaaa%0a%0dPORT 1,2,3,4,0,139". FW-1 воспримет это как две последовательных команды:
RETR aaaaaaaaaa
PORT 1,2,3,4,0,139
duke
|
