Ровно через год после того, как один из исследователей в области компьютерной
безопасности уведомил компанию Microsoft о наличии серьезной уязвимости,
затрагивающей все поддерживаемые версии Windows (включая Vista и Windows Server
2008), стало известно о появлении для нее реальных эксплоитов. Баг, кстати, так
и не был пропатчен.

Уязвимость, известная как кража
токена учетной
записи (.pdf), изначально была обнаружена экспертом Цезарем Церрудо в марте
прошлого года. Ее обсуждение закончилось появлением

руководства по устранению проблемы от компании Microsoft. Через пять месяцев
после этого (в октябре 2008 года) Церрудо выпустил для данной уязвимости
образец работающего эксплоита, с
очевидным намерением подтолкнуть Microsoft к выпуску заплатки. Однако она так и
не появилась.

И вот, SANS ISC сообщил о том, что данный баг был использован в ходе
комплексной атаки на неназванную цель. Следы применения эксплоита были
обнаружены аналитиком Центра Бояном Здрня в ходе анализа причин заражения:

  • Веб-приложение имело уязвимость, позволяющую атакующему удаленно
    загрузить файлы на сервер. Поскольку проверки файлов не осуществлялось,
    хакеру удалось загрузить .NET веб-шелл под названием ASPXSpy, позволяющий
    легко контролировать скомпрометированный сервер. После загрузки веб-шелла
    хакер получил возможность загружать файлы через браузер и запускать их.
  • Тем не менее, полного контроля над сервером хакер пока не имел,
    поскольку служба IIS работала из-под аккаунта с недостаточным уровнем
    привилегий. Здесь-то ему и пригодилось наличие уязвимости, позволяющей
    поднять уровень локальных привилегий. Атакующий загрузил локальный эксплоит,
    известный как Churrasco2, образец которого был создан широко известным
    экспертом Цезарем Церрудо в октябре 2008 года. Он создает бэкдор после того,
    как украдет токен SYSTEM. Строка запуска программы говорит сама за себя:
    /Churrasco/–>Usage: Churrasco2.exe ipaddress port

После этого все было кончено. Хакер загрузил на сервер еще один троян и
добавил к нему кейлоггер.

Таким образом, мы видим очередной пример взлома, которого можно было бы
избежать. Повторим, что в Microsoft узнали о имеющейся дыре один год тому назад
и, несмотря на наличие работающего эксплоита, так и не выпустили необходимый
патч. Поэтому, все что пока могут сделать пользователи, чтобы свести риск
успешной атаки к минимуму, это последовать

советам Microsoft.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии