Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 25. januar 2010

IE6 0-day og Windows rettighetseskalering

De siste to ukene er det blitt rapportert 2 ulike svakheter i alle versjoner av Microsoft Windows som sammen vil kunne være en meget effektiv angrepsvektor.

Den første var Internet Explorer 0-day svakheten som vi først omtalte i vårt nyhetsbrev 15. januar. Velfungerende exploitkode for IE6 ble tilgjengelig i Metasploit-rammeverket allerede 15. januar, dagen etter at svakheten ble allment kjent. Det er til og med lagt ut en bloggpost med en steg for steg guide for hvordan denne kan brukes. Microsoft rapporterer at det skal finnes privat "proof-of-concept" exploitkode for denne svakheten som også fungerer mot Internet Explorer 7 og 8. Denne svakheten ble fikset i en ekstraordinær patch utgitt 22. januar (MS10-002).

Den siste svakheten er rettighetseskaleringssvakheten i Windows-kjernen som vi omtalte i vårt nyhetsbrev 21. januar. Mange bedrifter lar brukerne kjøre med begrensede rettigheter på systemene sine for å begrense mulighetene for innbrudd og også for å begrense hva en eventuell angriper kan foreta seg dersom et innbrudd skulle være vellykket. Til denne svakheten ble exploitkoden publisert samtidig som selve svakheten ble allment kjent. Noe tidspunkt for patch for denne er så langt ikke kjent.

IE-svakheten er i seg selv kritisk, men kombinert med rettighetseskaleringssvakheten vil det også være mulig å få full kontroll over maskiner der brukere kjører med begrensede rettigheter. Det kan for eksempel være terminalservere, klienter der brukere er satt opp med begrensede rettigheter osv. Rettighetseskaleringssvakheten vil selvfølgelig være like effektiv i kombinasjon med andre svakheter i andre klientapplikasjoner som f.eks Adobe Reader, Flash ol.

Med exploitkode for IE6 tilgjengelig via Metasploit, samt ferdig kompilert kode for rettighetseskaringssvakheten allment tilgjengelig, satte vi opp et testmiljø for å se om dette virkelig var så enkelt å få til å fungere som det kunne virke som.

Etter å ha fulgt steg for steg guiden var Metasploit satt opp til å servere IE6 exploitkoden via en webserver og etter at vår sårbare klient med Internet Explorer 6 hadde vært innom denne så vi følgende:


Exploitkoden fungerte som den skulle og så ut til å fungere stabilt. Vi hadde nå samme rettigheter på maskinen som brukeren som besøkte nettsiden med exploiten. Brukeren som var logget inn på maskinen, var satt opp med begrensede rettigheter, så neste steg var å se om vi kunne få tilegnet oss mer rettigheter på systemet. Etter å ha lastet ned og kjørt den ferdigkompilerte exploitkoden kunne vi observere følgende:


Vi har nå rettigheter som SYSTEM og har dermed full kontroll over maskinen. Den samme ferdigkompilerte exploitkoden ble testet på Windows Vista med samme resultat.


Ofte vil DEP kunne gjøre det mye vanskeligere å utnytte svakheter på systemet og vi vil anbefale å skru dette på der det er mulig. Vi har omtalt DEP i en tidligere bloggpost som er tilgjengelig her. Microsoft melder om at det skal finnes privat exploitkode for den omtalte IE-svakheten som også kan omgå DEP, men at dette ikke er observert brukt i reelle angrep. Til brukere som fortsatt bruker Internet Explorer 6, vil vi på det sterkeste anbefale å oppgradere til versjon 8.0.

Dette viser hvor enkelt det ofte er å utnytte disse sårbarhetene, spesielt når alt er lagt til rette. I tillegg finnes det flere ulike grupperinger som selger kommersielle exploitpakker som er enda enklere å bruke enn det som ble vist her. Disse blir ofte utviklet og vedlikeholdt av profesjonelle som har salg av slike pakker som sin inntektskilde.


Kilder:
Metasploit.com
Full Disclosure
Microsoft Security Bulletin MS10-002
Microsoft Security Research & Defense

 
>