Ровно через год после того, как один из исследователей в области компьютерной
безопасности уведомил компанию Microsoft о наличии серьезной уязвимости,
затрагивающей все поддерживаемые версии Windows (включая Vista и Windows Server
2008), стало известно о появлении для нее реальных эксплоитов. Баг, кстати, так
и не был пропатчен.

Уязвимость, известная как кража
токена учетной
записи (.pdf)
, изначально была обнаружена экспертом Цезарем Церрудо в марте
прошлого года. Ее обсуждение закончилось появлением

руководства по устранению проблемы от компании Microsoft
. Через пять месяцев
после этого (в октябре 2008 года) Церрудо выпустил для данной уязвимости
образец работающего эксплоита, с
очевидным намерением подтолкнуть Microsoft к выпуску заплатки. Однако она так и
не появилась.

И вот, SANS ISC сообщил о том, что данный баг был использован в ходе
комплексной атаки на неназванную цель. Следы применения эксплоита были
обнаружены аналитиком Центра Бояном Здрня в ходе анализа причин заражения:

  • Веб-приложение имело уязвимость, позволяющую атакующему удаленно
    загрузить файлы на сервер. Поскольку проверки файлов не осуществлялось,
    хакеру удалось загрузить .NET веб-шелл под названием ASPXSpy, позволяющий
    легко контролировать скомпрометированный сервер. После загрузки веб-шелла
    хакер получил возможность загружать файлы через браузер и запускать их.
  • Тем не менее, полного контроля над сервером хакер пока не имел,
    поскольку служба IIS работала из-под аккаунта с недостаточным уровнем
    привилегий. Здесь-то ему и пригодилось наличие уязвимости, позволяющей
    поднять уровень локальных привилегий. Атакующий загрузил локальный эксплоит,
    известный как Churrasco2, образец которого был создан широко известным
    экспертом Цезарем Церрудо в октябре 2008 года. Он создает бэкдор после того,
    как украдет токен SYSTEM. Строка запуска программы говорит сама за себя:
    /Churrasco/–>Usage: Churrasco2.exe ipaddress port

После этого все было кончено. Хакер загрузил на сервер еще один троян и
добавил к нему кейлоггер.

Таким образом, мы видим очередной пример взлома, которого можно было бы
избежать. Повторим, что в Microsoft узнали о имеющейся дыре один год тому назад
и, несмотря на наличие работающего эксплоита, так и не выпустили необходимый
патч. Поэтому, все что пока могут сделать пользователи, чтобы свести риск
успешной атаки к минимуму, это последовать

советам Microsoft
.



Оставить мнение