На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Расширение привилегий на сервере IIS 5

Для сервера MS 4 существуют программы атаки, которые добавляют пользователя iusr в фуппу Administrators, что дает возможность полностью завладеть системой, даже если на ней установлен пакет исправлений SP 6а. Вы рады, что перешли на Windows Server 2003? Вы ведь перешли на нее?
Использование функции RevertToSelf С настройками InProcessIsapiApps

Популярность
7


Простота
5


Опасность
10

Степень риска
7




В феврале 2001 года программист систем безопасности Одед Горовиц (Oded Horovitz) обнаружил интересный механизм обхода параметра Application Protection независимо от его значения. Во время проверки базы данных конфигурации 1IS (которая называется Metabase) он заметил следующий параметр.
LM/W3SVC/InProcessIsapiApps
Atributes User Type Data Type
Inh(erit)
Server
MultiSZ
Data:
С:\ WINKT\System32\idq.dl1
С:\WINNT\System32\inetsrv\httpext.dll
С: \winnt\System32\inetsrv\h.ttpodbc .dll
C:\WrNNT\System32\inetsrv\ssinc.dll
С:\winnt\5ystem32\msw3prt.dll
C:\Program Files\Common FilesXMicrosoft Shared\Web Server
Extensions\40\isapi\_vti_aut\author.dll C:\Program Files\Common Files\Microsoft SharedWJeb Server
Extensions\40\isapi\_vti_adm\admin.dll C:\Program Files\Common Files\Microsoft SharedNWeb Server
Extensions\40\isapi\shtml .dll
Он обнаружил особые встроенные приложения, которые всегда выполняются "внутри" процесса сервера (независимо от конфигурации). В подтверждение своей теории, Горовиц создал библиотеку ISAPI, которая вызывает функцию RevertToSelf, и назвал ее одним из перечис­ленных в списке базы Metabase имен (например, idq.dll). Горовиц встроил в библиотеку функции, которые добавляют текущего пользователя в локальную группу Administrators сразу после получения прав учетной записи system.
Действительно, этот способ сработал. Более того, Горовиц заметил, что "подложную" библиотеку даже не нужно записывать поверх "настоящей" библиотеки, встроенной в сервер, — ее достаточно записать в любой каталог атакуемого сервера, для которого разрешено выполнение программ, и анонимно запустить через браузер. В результате в группу Administrators будет добавлена учетная запись iusr или iwam. Оказалось, что Горовиц достиг прекрасного результата — осуществил удаленное расширение привилегий на сервере IIS 5. Он сообщил об этом компании Microsoft, а те выпустили исправление ошибки в бюллетене MS01-026 (после пакета SP2) и опубликовали эту информацию летом 2001 года.
Продолжим рассматривать предыдущий пример. Злоумышленник может загрузить такую же подложную библиотеку в каталог C:\inetpub\scripts с помощью сценария upload, asp, а затем запустить эту библиотеку через Web-браузер, использовав следующий адрес URL. http://victim.com/scripts/idq.dll
Результат выполнения этой команды показан на 8. Пользователь 1.ИБК_имя_маишны был добавлен в группу Administrators.
На пути к практическому применению этого метода атаки осталась последняя преграда. Даже если учетную запись IUSR добавить в группу Administrators, все текущие процессы будут выполняться с правами учетной записи IUSR, предоставленными до повышения привилегий. Хоть пользователь IUSR и является членом группы Administrators, он еще не может использовать права администратора. Этот факт несколько сдерживает дальнейшее проникновение на сервер, поскольку пользователь IUSR не может запускать утилиты типа pwdump2, для которых требуется наличие прав администратора (см. главу 8, "Расширение сферы влияния"). Чтобы хакер смог использовать новые приобретенные права, должно произойти одно из двух событий: должен быть обновлен маркер пользователя IUSR, чтобы к нему добавился идентификатор SID группы администраторов, либо должен быть перезапушен процесс Web-сервера.
После появления информации о выявлении нового метода атак в Internet было предоставлено несколько динамических библиотек ISAPI. Одна из них, iiscrack.dll, работает наподобие сценариев upload, asp и cmdasp. asp, предоставляя хакеру возможность ввода команд через форму. При этом команды запускаются с правами учетной записи SYSTEM. Продолжая наш пример, представим, что хакер переименовал библиотеку и дал ей имя одной из библиотек, которая вызывает функцию RevertToSelf (например idq.dll). Затем он может загрузить "троянскую" библиотеку в каталог С: \inetpub\scripts с помощью upload.asp и запустить ее с помощью следующего URL-адреса (см. результат выполнения команды на 9). http://victim.com/scripts/idq.dll
Теперь удаленный хакер способен запустить любую команду на чужом компьютере с правами учетной записи SYSTEM. Проще всего для получения привилегий администратора воспользоваться уже проверенной командой.
net localgroup administrators IUSR_macftinename /add
Теперь, если получить командную строку через утилиту netcat, даже в контексте учетной записи IUSR (которая уже входит в группу Administrators) можно запускать утилиты, требующие прав администратора, например программу pwdump2. Игра окончена.
C:\>nc -1 -р 2002
Microsoft Windows 2000 [Version 5.00.2195] [С) Copyright 1985-1999 Microsoft Corp. С:\WINNT\system32?net localgroup administrators
net localgroup administrators Alias name administrators
Comment Administrators have complete and unrestricted access
to the computer/domain

Еще одна программа из Internet — это программа ispc от isno@focus.org. Эта программа представляет клиент Win32, который используется для подключения к специально подготовленной динамической библиотеке ISAPI idq.dll, сохраненной на атакуемом сервере. И опять, после того, как "троянская" библиотека скопирована на атакуемый Web-сервер (например, в каталог /scripts/idq.dll), злоумышленник может выполнить ispc.exe и немедленно получит доступ к удаленному командному интерпретатору, запущенному с правами SYSTEM. Рассмотрим пример использования ispc (обратите внимание, что необходимо время от времени нажимать клавишу <Enter>, чтобы получить ответ от командного интерпретатора удаленной системы, предоставленного ispc).
C:\>iape victim.сош/scripts/ idq.dll 80
Start to connect to the server... We Got It!
Please Press Some <Return> to Enter Shell.... Microsoft Windows 2000 [Version 5.00.2195) (C) Copyright 1985-1999 Microsoft Corp. C: \WINNT\system32>whoami C:\WINNT\system32> whoami
ИТ AUTHORIT Y \ S У ST EM C:\WINNT\system32>
© Защита от использования функций RevertToSaf е И ограничений InProcesslsapiApps
Бюллетень
MS01-026

BID
Нет

Исправлено в SP
3

Фиксируется
Да

-
Рассмотрим несколько мер для защиты от атак, описанных Горовицем и Джеем Ди.
Примените заплату MS01 -026
Хотя компания Microsoft и не сообщает этого явно, заплата MS01-026 изменяет настройки InProcesslsapiApps Mctabsc таким образом, что они ссылаются на конкретные файлы, а не на их относительные имена. Этим предотвращается использование вызовов функции RevertToSelf в,"троянских" библиотеках ISAPI, названных как библиотеки, которые запускаются в процессе сервера (inetinfo ). В результате становится невозможным расширение привилегий до уровня прав LocalSystem. Это "горячее исправление" (hotfix) было внесено после выпуска пакета SP2, а потому не входит в SP2. Пакеты обновлений сервера IIS включают все "горячие исправления", выпущенные для данного продукта.
Проверьте приложения ISAPI на наличие вызовов функции RevertToSelf и удалите такие приложения
Это может помочь предотвратить их использование для расширения привилегий. Воспользуйтесь программой dnmpbin, которая входит во многие пакеты разработчика под Win32. Использование данной программы показано на примере библиотеки isapiExt .dll.
dumpbin /imports IsapiExt.dll | find "RevertToSelf"

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика