На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Запись локальных файлов

Кто-то может усомниться в ценности таких функций для злоумышленника, но когда возможность записи файлов объединяется с возможностью их выполнения, могут возникнуть серьезные проблемы. Когда файл сохранен на диске, тогда только списки контроля доступа файловой системы и права учетной записи пользователя определяют, что можно запустить, а что нельзя. Так что если первый барьер преодолен, второй барьер преодолеть становится значительно легче.
В одном хитром варианте такой атаки используется выявление таких мест на диске, куда точно записываются данные, например, временное хранилище для файлов Internet с предсказуемыми
именами и расположением. Это позволяет хакеру реализовать атаку с использованием "содержимого выбранного файла", при которой вредоносный сценарий или другие инструменты взлома передаются Internet-клиенту таким образом, чтобы они оказались записанными в определенные места диска. Когда файл сохранен на чужом компьютере, его запуск при известном расположении становится простой задачей, которая решается с помощью тега IFRAME или другими методами. Рассмотрим некоторые примеры атак с записью файлов.
Место хранения закачанных обложек для программы ф Windows Media Player

Компания Microsoft допустила классическую ошибку безопасности, создав уязвимое место, которое позволяет злоумышленникам отгадывать или выбирать место хранения загруженного файла. Более того, ошибка позволяет изменять расширение для этого файла.
При запуске файла обложки для программы WMP (с расширением .wmz) он может запросить загрузку информации с удаленного Web-сайта (основной оригинальной целью создателей была возможность изменять обложку WMP по своему желанию, используя новую ин­формацию из Internet). Хотя в самом файле .wmz нет никакой внутренней ошибки, но поддается прогнозированию механизм загрузки информации об обложке. По существу загрузка выполняется сначала в каталог Temporary Internet Files (Временные файлы Internet), а потом данные копируются в следующий каталог.
C:\Program Files\Windows Media PIayer\Skins\ 1 случайное]\чыя_файла.wniz
В данном случае [случайное] соответствует случайно выбираемой строке ASCII-символов, а имя_файла. wmz — имя файла обложки. В средине 2003 года Иоко Пинионен (Jouko Pynnonen) и неизвестный под псевдонимом "Jelmer" одновременно сообщили, что с помощью создания Web-сервера, который может рассылать сообщения с вредоносными НТТР-заголовками, можно организовать сохранение загружаемых . wmz-файлов в конкретное место на диске пользователя. Таким образом, если хакеру удастся заставить пользователя запустить .wmz-файл, он может сохранить файл в месте, откуда этот файл будет потом запускаться. Как правило, таким местом хранения является каталог Windows Startup (Автозагрузка), все исполняемые файлы которого запускаются во время загрузки системы. Тем более, что при помощи "правильного" подбора дополнительных данных злоумышленник может изменить расширение загруженного файла на любое по своему выбору. Рассмотрим, как может выглядеть НТТР-заголовок, предназначенный для проведения такой атаки.
Concent-Disposition: filename = %2e%2e%5c%2e%2e%5c%2e?;2e%5c%2e%2e%5c ,!>Documents%20and%20Settings%5CAll%20t!sers%5C5tart%20Menu%5C Programs %%5CStarcup%5csorriefile.exe%00.winz
Давайте подведем итог. Все, что нужно хакеру, — это заставить пользователя перейти по URL-ссылке на его сервер. При наличии уязвимой версии программы WMP, эта программа сама позаботится обо всем остальном и загрузит вредоносный файл в заранее опреде­ленное место. Таким образом эту атаку можно провести и по электронной почте, используя атаки с помошыо тегов I FRAME или МЕТА-REFRESH, описанные выше в этой главе (при условии, что использование этих тегон не ограничено, согласно параметрам зоны безопас­ности Internet).
О Защита от загрузки файлов .wmz
Бюллетень
MS03-017

BID
7417

Исправлено в SP
Windows XPSP2 (для других


платформ следует устано- ' вить заплату для WMP)

Фиксируется
Нет

Используем стандартные меры противодействия: получаем заплату и одновременно проверяем, что в Internet Explorer блокируется автоматический переход по ссылкам URL в настройках зоны безопасности Internet.
Выполнение файлов . chm, записанных во временный кэш Internet
Популярность
9

Простота
9

Опасность
4

Степень риска 8

Это уязвимое место Георгий Гунински (Gcorgi Gunninski) описал в статье №28. Требуется выполнить четыре операции, которые можно провести во время загрузки страницы HTML в программе internet Explorer или Outilok/Outlook Express.
1. С помошью нескольких строк кода HTML необходимо записать серию идентичных, специально созданных и скомпилированных файлов справки в формате HTML (с расширением . chm) в каталог хранения временных файлов Internet.
2. Из первого документа HTML загружается второй документ, который расположен на сервере с именем, отличным от имени сервера, на котором хранится первая страница.
3. Нужно определить расположение одного из каталогов для временных файлоа Internet.
4. Запуск файла с расширением . chja из обнаруженного каталога.
Файл . chm может содержать директиву-ярлык для запуска других программ (еще один трюк, разработанный Георгием Гунински, описан в его статье Ns8). Теперь рассмотрим каждый шаг подробно.
Этап 1 довольно прост — программа атаки Георгия загружает набор файлов . chm с немного отличающимися именами с помощью тегов HTML, используемых для картинок. <img зас=*еь»1.сЗш" width=i height=i>
<IMG SRC="chin?, chm" WIDTH=1 KEIGHT=1> <IMG SRC="Chm3 .chm" ИШГН=1 HEIGHT=1> и т.д.
Эти файлы будут записаны в кэш программы IE на клиентской машине под именами %Userprofile%\LocalSettin.gs\Tenrporary Internet FilesVContent. IE5\XXXXXXXX\ имя_файлаЦ] .e.xt, где XXXXXXXX— это случайно сгенерированная буквенно-цифровая строка длиной в восемь символов. Обратите внимание на символы [£)., которые добавляются
к имени файла перед расширением. Случайно генерируемое имя каталога делает почти невозможным прямой запуск файла из кэша по указанному пути. Единственный способ узнать полный путь к файлу — угадать случайную строку.
Георгий обходит это ограничение на втором и третьем этапе, сначала он загружает второй документ HTML с другого сервера, используя тег OBJECT. На самом деле, документы могут находиться и на одном сервере, нужно только использовать другой псевдоним для доступа к нему (например, использовать адрес 192.166.2.23 вместо имени www.attacker.com). В программе атаки Георгия Гунински первый документ загружается с узла www.gunninsky,com, а ссылка на второй документ выглядит следующим образом.
<03JECT DATA=nhttp://guninski.com/chmtemp.hcml" TYPE="text/html" WIDTH=2D0 KEIGHT-20O>
Обратите внимание, что второй документ загружается с использованием другого псевдонима того же сервера: используется адрес guninski . com вместо адреса www. guninski.com.
На третьем этапе Георгий завершает цикл и определяет точный путь к папке с временными файлами Internet. Загрузив второй документ в виде объекта, Георгий может получить путь к временным файлам Internet программы IE, используя щаюлон "документ,URL". Он записы­вает значение документ. URL в строку, обрезает се и получает строку patn, которая содержит полное имя каталога с временными файлами. Например, переменная path может иметь значение C:\Documents and SetCings\Admintstrator\Local settings\Content.IE5\ 4DKFMPMH. Георгий любезно сообщает о том, что полное имя получено.
"TicHKolt IrPpmph Explorer
ОтЫуаз ВТо f*K 4«tcry Ь: fto/yo^xuwodinas
Затем программа атаки Георгия делает попытку открыть каждый из загруженных на первом этапе файлов .chm, добавляя к имени файла полученное значение переменной path истроку II] перед расширением файла .chm. Например, он пытается открыть по очереди файлы (напомним, что переменная pa th содержит строку С: \Documents and Settings \ AdministratorVLocal SettingsEContent -IE5\4DKFMPKH).
paEJAchml[ 1J.chm path\chm2[i].chm pathSchmi[1).chm и т.д.
Рано или поздно, он попадает на один из расположенных в области кэша файлов и запускает файл в контексте локальной зоны безопасности IE (Local Computer Security Zone), для которой "оказывается полное доверие". Когда файл . chm исполняется, он открывает программу Word-Pad полностью в соответствии с программой, составленной Георгием. Конечно, результат атаки мог бы быть и намного серьезнее — возможность записи файлов на диск и их запуска так же опасна, как и возможность выполнения произвольных команд на системе жертвы.
Эту атаку можно реализовать и с помощью письма электронной почты в формате HTML, но такая реализация будет сложнее потому, что требуется время на загрузку нескольких файлов . chm и размещение второго файла HTML на удаленном сервере.
Перед обсуждением мер противодействия нужно сделать еще одно замечание. Кэш программы ТЕ (например каталог %userprofiIe%\Local Settings\Temporary Internet Piles\ Content. IBS) не виден ни через проводник Windows, ни через утилиту Search (Поиск) с графическим интерфейсом. Но этот каталог можно увидеть, если в командной строке ввести команду dir. В этом же каталоге расположен интересный файл index.dat, в котором хранится список адресов, недавно посещенных клиентом. Возникают некоторые мысли...

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика