Windows-hul lader hackere crashe din computer

En speciel sårbarhed er opdaget i Windows Vista og Windows 7. Ved at sende et &-tegn over en netværksprotokol kan man få en hvilken som helst computer til at crashe eller genstarte.

Begynder din Windows Vista-computer pludseligt at genstarte i tide og utide, kan det skyldes en drillesyg hacker, som udnytter den nyeste sårbarhed i Windows.

Der er nemlig frigivet en simpel kodestump, der kan udnytte et hul i Server Message Block 2-protokollen (SMB2) til at få en computer til at gå kold eller genstarte af sig selv.

SMB2-protokollen bruges i Windows Vista og det endnu ikke lancerede Windows 7 til at kommunikere med printere og andre enheder på netværket, og det giver hackere mulighed for forholdsvist nemt at sende en besked, der får driveren srv2.sys til at gå i baglås og lægge hele maskinen ned.

Våbnet er et &-tegn, som driveren får galt i halsen, hvis tegnet optræder i feltet 'process ID high'.

It-mediet Heise Online har afprøvet den kodestump, der er frigivet som bevis for problemet. Her virkede genstarts-angrebet som beskrevet på computere med Windows Vista men ikke på Windows 7.

Windows Server 2008 kan også være ramt, skriver Laurent Gaffie, der opdagede problemet, for dette styresystem bruger samme SMB2-protokol.

Microsoft udsender i dag, tirsdag, den månedlige pakke med sikkerhedsopdateringer og vil dermed ikke kunne ordne det nyopdagede hul før næste runde af opdateringer i oktober.

Indtil da kan man lukke af for angrebet ved at spærre for printer- og filadgang fra netværket i firewall-indstillingerne, lyder rådet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans-Michael Varbæk

Men, bestemte versioner og patches / service packs kan altså give andre resultater. Det kræver dog som sagt at en hacker har adgang til port 445 på målet / maskinen og at fildeling er slået til.

Ovenstående er ramte, dog ikke Vista uden SP1 men her er et andet sikkerhedshul fundet af HD Moore fra Metasploit Projektet. (Sikkerhedshullet sender en masse forespørgsler og crasher derved servicen, nogle gange computeren).

Det som ovenstående sikkerhedshul gør er at sende et &-tegn, men da en hacker har adgang til 2 bytes eller 16bits (i ESI registret) hvor han kan skrive hvad som helst, også jumps / hop til andre hukommelses-addresser er hackere begyndt på at se hvorvidt det er muligt at ekserkvere kode vha. dette sikkerhedshul.

Det kræver dog meget mere arbejde end sædvanligt og ud fra egen spekulation (ved at læse diverse proof of concept's samt information og artikler) er det usandsynligt, men ikke umuligt at kunne escalere sikkerhedshullet til måske "privilege escalation" eller kode-ekserkvering, men som sagt er det ikke meget hackerne har at lege med i dette tilfælde.

Kim Schulz

....fedt der er jo stort set identisk med den fejl vi så i win95/98 kaldet ping of death (winnuke osv).
Forøvrigt kan man mere end blot få maskinen til at crashe - flere mails på diverse releaterede mail lister indikerer at man også kan lave Remote-code-execution, og altså dermed skaffe sig adgang til maskinen i den anden ende.

Christian E. Lysel

@Brian Rasmussen,
[quote]
Hvorfor skulle man tillade det gennem sin firewall?
[/quoute]

Jeg har ikke interesseret mig for hullet, men der kan være flere angrebsvinkler:

1) Via din browser besøger du file://\localhost\c$\test$ (eller hvad det nu hedder på en windows boks)

2) En orm spreder sig igennem hullet, dvs. interne inficeret maskiner kan inficere dig.

Benny Wenzell

Hvorfor er ghost et ukendt begreb i videre kredse.
Hjemme hos mig har det altid fungeret som en midlertidig løsning på alle problemer.
Jeg ved godt at det ikke løser problemerne permanent, men i den fase hvor antivirusprogrammerne og styresystemerne ikke er opdaterede heller ikke fra producenternes side har jeg altid fået en midlertidig løsning.
Senere er der så kommet de nødvendige opdateringer automatisk, og man kunne sådan set godt klare sig uden ghost, indtil der så dukker et nyt problem op.
For den menige mand som ikke orker at følge med i diverse kunstgreb, er det rart med en medicin, der altid består af den samme pille.

Hans-Michael Varbæk

@Kim Schulz:

....fedt der er jo stort set identisk med den fejl vi så i win95/98 kaldet ping of death (winnuke osv).
Forøvrigt kan man mere end blot få maskinen til at crashe - flere mails på diverse releaterede mail lister indikerer at man også kan lave Remote-code-execution, og altså dermed skaffe sig adgang til maskinen i den anden ende.

Det er så ikke stort set identisk, så er dette hul også identisk med MS08-067 fordi dette også har med SMB protokollen at gøre. Winnuke sendte en URG pointer, mens det nye sikkerhedshul sender en ugyldig adresse / kommando i Process ID High feltet.

Jeg har endnu ikke set bevis for at det er muligt for Remote Code Execution og det kræver stadigvæk en del arbejde + held vil jeg mene, da det altså kun er 16bits vi snakker om.

Du er velkommen til at følge med i HD Moore's udvikling:
http://trac.metasploit.com/browser/framework3/trunk/modules/auxiliary/do...

http://trac.metasploit.com/browser/framework3/trunk/modules/auxiliary/do...

@Christian Nobel

Windows-hul lader hackere crashe din computer

Gør det det - sic.

/Christian

Ja det gør det.

@Benny Wenzell

Hvorfor er ghost et ukendt begreb i videre kredse.
Hjemme hos mig har det altid fungeret som en midlertidig løsning på alle problemer.

Ghost har ikke noget at gøre med et SMB angreb. Man kan sagtens blive inficeret uden at vide det, tage en ghost og så er man på den :-) Men Ghost kan altså ikke bruges til noget i dette tilfælde.

Brian Rasmussen

Den er jeg helt med på. Der kan være utallige måder at dette angreb kan komme i spil, men derfra til at sige at "en hvilken som helst computer" er sårbar er stadig en kæmpe overdrivelse. Der er to krav. Den skal køre den pågældende service og servicen skal være tilgængelig for andre, før de kan angribe den.

Benny Wenzell

Når du siger tage en ghost, mener du så restore eller backup
Jeg ved kun lidt om computere, men jeg troede at hvis man havde lavet en backup, inden man blev inficeret og man så blev inficeret.
Så ville man med en restore vende tilbage til tilstanden inden man blev inficeret.
Godt nok kunne man så igen blive inficeret men det krævede et nyt angreb.
Men som sagt er jeg lidt af novice uden den store viden.
Hvad er det jeg ikke har forstået.

Hans-Michael Varbæk

@Benny Wenzel,

Når du siger tage en ghost, mener du så restore eller backup
Jeg ved kun lidt om computere, men jeg troede at hvis man havde lavet en backup, inden man blev inficeret og man så blev inficeret.
Så ville man med en restore vende tilbage til tilstanden inden man blev inficeret.
Godt nok kunne man så igen blive inficeret men det krævede et nyt angreb.
Men som sagt er jeg lidt af novice uden den store viden.
Hvad er det jeg ikke har forstået.

Det som folk ikke forstår er at hvis dette sikkerhedshul kunne udnyttes til kode-ekserkvering, så kan en (ondsindet) hacker rigtig nok installere et rootkit eller en trojansk hest og så kan man så bruge en ghost til at få computeren tilbage til sin originale tilstand.

Der er bare 2 problemer:
A) Hvordan finder du ud af at du har en trojansk hest? Fordi du kan sagtens være uvidende om det medmindre du har installeret en IDS-enhed på netværket som holder øje med trafikken og hvor du selvfølgelig kan spotte den unormale trafik.

B) Hvis der er tale om en orm som selvfølgelig replikerer sig selv (og som også scanner netværk efter flere sårbare computere), ja så kan man rigtig nok bruge ghost og så er man god igen, men så har man stadigvæk smb2 servicen kørende og hvis man så også er på netværket eller måske en flittig Internet-bruger, ja så går der måske ikke lang tid.

Så løsningen er enten som Michael Bæk skriver, hurra for linux (der er så andre problemer på den platform, selvom man undgår de fleste orme skulle jeg mene), eller man kan slå smb2 fra, eller man kan også bare være paranoid og slet ikke gå på Internettet indtil der kommer en patch / opdatering som retter problemet :-)

Heldigvis tager det som regel tid for diverse ondsindede hackere at lave ormene, og som regel er der faktisk kommet en patch / opdatering ud som det var tilfældet med en af ormene som var baseret på ms08-067 (netapi, hører også under SMB-exploits).

Men tilbage til hovedemnet, Ghost er en hurtig og let vej til genskabelse af computeren da den lige var installeret (eller hvornår man nu oprettede den "ghost-cd") så det er ikke nogen dårlig idé, men hvis man bruger pirat-kopier af Windows så kan det i nogle tilfælde være ligemeget da disse også kan indeholde rootkits mm.

Du har da også ret i det kræver et nyt angreb, men prøv at installere Windows XP uden service packs og nogen som helst sikkerhedsopdateringer og sæt den direkte på Internettet uden firewall eller nogen som helst "sikkerhedsmæssige" indstillinger. Så er der som regel gevinst efter et par dage eller en uges tid. (det er dog svært at sige præcist hvor lang tid der réelt vil gå).

Martin Kofoed

Skær dem nu noget slack... De kunne også have skrevet:

"Windows-hul lader Windows-hackere crashe din Microsoft Windows-computer", men det ville lyde lidt dumt.

Forstod du ikke overskriften? Tror jeg de fleste gjorde, selv om "din PC" rigtigt nok rammer lidt bredt.

Christian Nobel

Jeg er bare træt af at et generisk begreb som en computer ukritisk udråbes til at være synonymt med en computer hvorpå der benyttes hin eller denne version af Windåse (som så endda kun udgør ca. 25-30% af den samlede mængde af dåser.).

Næh overskriften skulle have været:

Windows-hul lader hackere crashe Vista og Windows 7.

Så er det også meget nemmere at drage sine egne konklusioner om MS' nye vi-tager-sikkerhed-meget-alvorligt udgaver!

/Christian

Benny Wenzell

Det er også derfor jeg altid har to forskellige backupfiler liggende. En som er fuldstændig pur, uden at have haft adgang til internettet og en inklussive sikkerhedsopdateringer.
Hvis den sidste ikke er god nok, må jeg så gå tilbage til den første.
Imellemtiden er diverse patches fra windows forhåbentlig ankommet
Iøvrigt bliver jeg aldrig tilhænger af bankoplysninger på nettet, før vi får et specielt styresystem som kun kan det. Hvor man har en hardware dual boot, og hvor man f.eks bruger direkte telefonopkald til banken med callback. Okay så er det heller ikke nettet men telefonnettet.
Og så kun bruge internettet som et gigantisk varekatalog hvor man godt nok kan afgive ordrer og angive sit navn og adresse, men lige det med betalingen foregår et andet sted.

Log ind eller Opret konto for at kommentere