Exploit preconfezionato per Win2000

Un esperto di sicurezza venezuelano ha inviato su due note mailing-list di sicurezza un piccolo programma in grado di sfruttare la recente falla di IIS scoperta in Windows 2000. L'autore afferma non si tratti di un tool di cracking

Internet - Ad ormai una settimana di distanza dall'annuncio della grave vulnerabilitÓ di sicurezza che affligge Internet Information Server (IIS) 5 in accoppiata con Windows 2000, un consulente di sicurezza venezuelano ha rilasciato il codice di un piccolo programma - quello che in gergo viene chiamato exploit - capace di sfruttare la falla.

Il programma Ŕ stato inviato da Rafael Nunez su due note mailing-list di sicurezza, BugTraq e VulnWatch, con lo scopo dichiarato di fornire agli amministratori di sistema con modeste conoscenze tecniche un tool attraverso cui verificare la vulnerabilitÓ dei propri server.

"Ho rilasciato il codice per illuminare il pubblico e promuovere la sicurezza dei sistemi per quegli amministratori che hanno poca familiaritÓ con questo genere di exploit", ha scritto Nunez nel suo post.
Nunez, che nella sua veste di hacker si fa chiamare "RaFa", sostiene che buona parte del codice della sua utility Ŕ stato sviluppato da altri hacker. L'exploit di Nunez, sebbene sia il primo ad essere divulgato al grande pubblico in una forma di semplice comprensione ed epurata da funzioni malevoli, non Ŕ certo il primo a sfruttare la voragine di IIS e Windows 2000: come si ricorderÓ, infatti, ancora prima che Microsoft rilasciasse una patch alcuni cracker utilizzarono la falla per bucare un sito militare americano.

Nunez ha ribadito la serietÓ di questo bug di sicurezza e la possibilitÓ che questo possa essere sfruttato da cracker per scrivere worm capaci di compromettere in automatico i siti vulnerabili.
TAG: sicurezza
29 Commenti alla Notizia Exploit preconfezionato per Win2000
Ordina
  • In primis dovranno trovare il compilatore.
    Poi si scontreranno con un sacco di fatal error,
    di cui non riusciranno a capire il motivi.

    non+autenticato

  • - Scritto da: Anonimo
    > In primis dovranno trovare il compilatore.
    > Poi si scontreranno con un sacco di fatal
    > error,
    > di cui non riusciranno a capire il motivi.

    Proprio per questa ragione Roman Medina ha pubblicato una versione ch esi compila con gcc senza problemi Sorride

    11237
  • Ma dai..., pensi che ci voglia molto a sostituire gli headers e compilarlo sotto una *nix box ?
    Ma hai letto il codice ? E' pulito, a parte qualche minima modifica della sintassi e i winsocks che vanno sostituiti, l'altro header e' un semplice stidio.h (presente in tutti i compilatori), (viene fatto apposta per impedirne l'uso ai meno esperti e ai lamerini di primo pelo), per il resto vanno benissimo gli header con cui hanno compilato altri exploit per IIS sotto Unix.
    Cmq sia, sono d'accordo con la pubblicazione di questi codici, con tools e quant'altro, ma sopratutto sono d'accordo con un bel mass-defacement ai danni di quegli stupidissimi amministratori di sistema che si pietrificano sulle loro posizioni sbagliate e continuano a montare centinaia di firewall e sonde IDS senza preoccuparsi di fixare i server. Lo ripeto per l'ennesima volta, PUOI MONTARE CENTO FIREWALL, CENTO SONDE IDS, CENTO SERVER IDS PER PROCESSARE LE ATTIVITA' DI RETE, MA SE IL SERVIZIO CHE LASCI ATTIVO SULLA CONNECTION TABLE DEL FIREWALL E' FALLATO IO ENTRERO' E TI FARO' DANNO.
    Ben venga una nuova stagione di defacements ai danni di IIS.
    Mi spiace essere così sprezzante ed estremista ma ne ho piene le palle di passare sempre per il paranoico e per il contestatore. Mi occupo di sicurezza da svariati anni, forse non sono proprio il classico consulente in giacca e cravatta, forse il mio back-ground non e' proprio "ortodosso" ma sono cresciuto tra hard disk e bbs...
    A presto
    non+autenticato
  • Ha fatto benissimo a pubblicare il tool! Non siamo noi ricercatori nell'ambito della sicurezza informatica a doverci autocensurare e autolimitare nella nostra liberta' ma sono le softwarehouse a doversi attivare per sistemare al piu' presto il buco di sicurezza.
    L'onere spetta a chi il problema l'ha creato e non a chi l'ha scoperto.
    non+autenticato
  • > Ha fatto benissimo a pubblicare il tool! Non
    > siamo noi ricercatori nell'ambito della
    > sicurezza informatica a doverci
    > autocensurare e autolimitare nella nostra
    > liberta' ma sono le softwarehouse a doversi
    > attivare per sistemare al piu' presto il
    > buco di sicurezza.
    > L'onere spetta a chi il problema l'ha creato
    > e non a chi l'ha scoperto.

    Dubito che i ricercatori nell'ambito della
    sicurezza informatica utilizzino Punto
    Informatico per le proprie ricerche con
    tutti i siti specializzati.
    4751
  • qualcuno me lo compilerebbe gentilmente, sono un lamer e non sono in grado di farlo da solo, ma sono bravo a fare casini con gli tutto cio' che ha per estensione .exe
    Chi mi aiuta ?
    non+autenticato

  • - Scritto da: Anonimo
    > qualcuno me lo compilerebbe gentilmente,
    > sono un lamer e non sono in grado di farlo
    > da solo, ma sono bravo a fare casini con gli
    > tutto cio' che ha per estensione .exe
    > Chi mi aiuta ?

    Dalla ML di Bugtraq:
    "Note: don't ask for the binary one.. Please compile yourself."
    Sorride
    11237
  • Per aver pubblicato il codice.

    Cosi' ora ci sara' una valanga di script kiddie che fara' danni a destra e a sinistra...

  • Non ho capito se il tuo post e' ironico o no.
    Se non lo e' hai una visione piuttosto limitata delle cose.

    Anonymous

  • - Scritto da: Anonymous
    > Non ho capito se il tuo post e' ironico o no.

    no !

    > Se non lo e' hai una visione piuttosto
    > limitata delle cose.

    Perche' ? cosa c'e' di "limitato" in quello che ho scritto ? E' esattamente quello che succedera'.


  • - Scritto da: KerNivore
    >
    > Perche' ? cosa c'e' di "limitato" in quello
    > che ho scritto ? E' esattamente quello che
    > succedera'.
    >

    Per una volta che PI fa una cosa del genere..
    Ci sono decine di siti internet dove quotidianamente vengono pubblicati codici di exploit piu' o meno dettagliati.
    Ed e' un bene che sia cosi', fa bene al mondo della security.

    Manda una mail a quelli di linuxsecurity o su bugtraq scrivendo quello che hai scritto a inizio thread, vedrai le risposte.


    I lamer ci sono lo stesso, pubblicando il codice non si incoraggiano ad usarlo ne' tanto meno si fara' aumentare il loro numero.

    I veri esperti piu' di tanto non hanno bisogno del codice pronto, basta loro leggere i dettagli della vulnerabilita' per sapersi creare l'exploit.

    Non vedo quindi il problema.

    Io apprezzo molto che PI abbia pubblicato il codice, forse servira' ad aprire gli occhi a qualcuno.

    Anonymous
  • Approvo, e poi credo che sia giunta l'ora che la Microsoft preveda una funzione di aggiornamento per ogni suo prodotto nello stile dei prodotti symantec. In questo modo si potrebbero fare dei test su macchine di prova per poi estendere le patch alle macchine di produzione. Personalmente ho installato un server SUS ma offre funzionalita' ridotte rispetto alle reali esigenze di una grossa azienda (per esempio non applica i service pack) e il solo windows update e' cmq limitato. Premetto che conosco solo i sistemi Microsoft e lavoro solo con quelli ma non per questo salterei nel fuoco per mamma MS.
    saluti a tutti
    non+autenticato

  • - Scritto da: Anonymous
    >
    > Manda una mail a quelli di linuxsecurity o
    > su bugtraq scrivendo quello che hai scritto
    > a inizio thread, vedrai le risposte.

    Il parere dei soli fondamentalisti della full disclosure è irrilevante e fazioso. Ci sono fior di accademici che sostengono il contrario con argomentazioni ugualmente (o maggiormente) valide e pregnanti, la questione è tuttora aperta.

    > Non vedo quindi il problema.

    Quante ore credi che passino dalla pubblicazione del codice all'apparizione su sito russo o sudamericano del binario con tanto di payload modulare, usabile da qualsiasi cretino sedicenne ?

    Dato che agli "esperti di sicurezza" il codice non serve, che non lo si pubblichi e festa finita.
    non+autenticato
  • > > Non vedo quindi il problema.
    >
    > Quante ore credi che passino dalla
    > pubblicazione del codice all'apparizione su
    > sito russo o sudamericano del binario con
    > tanto di payload modulare, usabile da
    > qualsiasi cretino sedicenne ?

    Il binario si ottiene in 5 minuti con un normale borlanc C + tasm32, tutta roba ottenibile gratuitamente in rete ....
    Il netcat pure .... quindi .. se uno volesse veramente usarlo ... non credo che abbia grossi problemi ...

    Quasi quasi .. faccio un test su punto informatico 8->>

    > Dato che agli "esperti di sicurezza" il
    > codice non serve, che non lo si pubblichi e
    > festa finita.

    Su questo non metterei la mano sul fuoco, dato che dipende dal tipo di dettagli che vengono dati
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Il parere dei soli fondamentalisti della
    > full disclosure è irrilevante e fazioso. Ci
    > sono fior di accademici che sostengono il
    > contrario con argomentazioni ugualmente (o
    > maggiormente) valide e pregnanti, la
    > questione è tuttora aperta.

    Certo, la questione e' aperta, ma i piu' grandi esperti di sicurezza sono per la full disclosure.
    Ti piacerebbe applicare patch senza sapere a cosa servono (la famosa security by obscurity)?
    A me sinceramente no.
    In piu' sono favorevole alla pubblicazione degli exploit in quanto costringe anche i sysadmin meno seri a dover correre ai ripari.

    > > Non vedo quindi il problema.
    >
    > Quante ore credi che passino dalla
    > pubblicazione del codice all'apparizione su
    > sito russo o sudamericano del binario con
    > tanto di payload modulare, usabile da
    > qualsiasi cretino sedicenne ?

    Pubblicare il codice e' un conto, usarlo per scopi illegali tutt'altro.
    Anni fa girava in rete sub7 o backorifice: secondo il tuo ragionamento tutti i sedicenni dovrebbero averne fatto uso.

    Pubblicare il codice permette anche a chi si avvicina per la prima volta al mondo della sicurezza di avere solide basi su cui iniziare a studiare.
    Gia' la sicurezza informatica e' un mondo esageratamente elitario e di nicchia, togliere la possibilita' a tutti di studiare il codice degli exploit ridurrebbe drasticamente il numero dei futuri esperti.

    > Dato che agli "esperti di sicurezza" il
    > codice non serve, che non lo si pubblichi e
    > festa finita.

    Cosi' fra 5 anni ti ritroverai ad apllicare patch ai tuoi server senza sapere se realmente sono necessarie e se realmente correggono il problema dichiarato.
    Se a te piace cosi'...

    Anonymous
  • > Pubblicare il codice e' un conto, usarlo per
    > scopi illegali tutt'altro.
    > Anni fa girava in rete sub7 o backorifice:
    > secondo il tuo ragionamento tutti i
    > sedicenni dovrebbero averne fatto uso.

    infatti cosÝ era e alla fine cosÝ é anche adesso...
    la maggior parte degli "scassapalle" in rete sono appunto ragazzini che sanno giusto usare programmini preconfezionati (vedi uniscan ecc) fino ad arrivare ai pi˙ "espertoni" che sanno addirittura compilare un .c sulla loro scintillante red hat e lanciarlo ( vedi smurf vari, pimp ecc ecc ).... senza nemmeno rendersi conto dei danni che possono causare e di cosa posso rischiare...

    é anche vero che un amministratore di rete deve tenere sempre aggiornato il suo sistema ma é anche vero che spesso non é possibile farlo in tempi brevi o ancora a volte non é possibile farlo.

    quindi se si potesse evitare di dare mezzi preconfezionati in giro sicuramente ci sarebbero anche meno lamer o script kid
    che siano a scassare...

    o forse vengono bubblicati dai siti proprio per attirare utenza ?
    ;)

    saluti






  • - Scritto da: Root5
    > infatti cosÝ era e alla fine cosÝ é anche
    > adesso...
    > la maggior parte degli "scassapalle" in rete
    > sono appunto ragazzini che sanno giusto
    > usare programmini preconfezionati (vedi
    > uniscan ecc) fino ad arrivare ai pi˙
    > "espertoni" che sanno addirittura compilare
    > un .c sulla loro scintillante red hat e
    > lanciarlo ( vedi smurf vari, pimp ecc ecc
    > ).... senza nemmeno rendersi conto dei danni
    > che possono causare e di cosa posso
    > rischiare...

    vero, ma sono scassapalle che raramente combinano guai.

    > é anche vero che un amministratore di rete
    > deve tenere sempre aggiornato il suo sistema
    > ma é anche vero che spesso non é possibile
    > farlo in tempi brevi o ancora a volte non é
    > possibile farlo.

    Infatti di norma gli exploit preconfezionati escono qualche settimana (o qualche giorno a volte) dopo che la patch e' uscita.
    Se esce prima della patch vuol dire che non si e' stati corretti nel segnalare il bug alla software house di turno e lo si e' spifferato ai 4 venti.
    Quindi si segnala il bug _solo_ alla software house, esce la patch, si pubblicano i dettagli della vulnerabilita', poi esce l'exploit preconfezionato.
    Il tempo come vedi c'e' tutto.
    E in fin dei conti, proteggere il proprio server e' il compito principale di un sysadmin, tutto il resto viene dopo.
    patch che non si possono applicare... mi vengono in mente i sistemi microsoft, una tale accozzaglia di codice troppo integrato con il so (imho), per questo crea problemi.

    > quindi se si potesse evitare di dare mezzi
    > preconfezionati in giro sicuramente ci
    > sarebbero anche meno lamer o script kid
    > che siano a scassare...

    Alcuni di questi lamer un giorno potrebbero diventare grandi haker, magari spinti prorpio dalla curiosita' stimoltata da questi exploit

    > o forse vengono bubblicati dai siti proprio
    > per attirare utenza ?
    > Occhiolino

    ancheOcchiolino

    Anonymous
  • > E in fin dei conti, proteggere il proprio
    > server e' il compito principale di un
    > sysadmin, tutto il resto viene dopo.

    vero! anzi verissimo ma non sempre possibile in tempi brevissimi per una serie infinita di motivi o coincidenze, sopratutto se parliamo di piccole realtß aziendali dove spesso l┤amministratore non fa solo quello.

    > patch che non si possono applicare... mi
    > vengono in mente i sistemi microsoft, una
    > tale accozzaglia di codice troppo integrato
    > con il so (imho), per questo crea problemi.

    premettendo che non é il mio campo qundi potrei anche castronare di brutto ehehe ma che patch vuoi applicare per esempio per proteggerti da una smurfata come "berlusca" comanda? o ancora come proteggo l┤accesso al router cisco della telezoz che per far prima usa la stessa pass di accesso per tutti e non aggiorna (naturalmente a me l┤accesso mica lo danno lol)?e via cosi inzomma...