——Windows重大漏洞MS08-067实战入侵演示
◎文/苗得雨
Windows黑屏的风暴似乎还没有落下,一场更大的风暴就接踵而至,如同是微软带给所有盗版用户的另一次惩罚。但是,如果这真的是惩罚,那么它将会比黑屏更加可怕。根据微软最新发布的紧急安全公告显示,代号为MS08-67的Windows漏洞几乎同2003年引发“冲击波”病毒肆虐的RPC漏洞危险性相同,但是与冲击波不同的是,这个预言仅仅过了一天就成为了现实……
紧随黑屏的MS08-067
面对MS08-067漏洞,微软的“黑屏”行动简直善良的如同一个软件彩蛋一样。虽然我不相信像微软这样的软件霸主会依靠一个漏洞来威胁盗版用户购买正版Windows,但是又必须不得不承认,这个漏洞的威胁性足以值得让你打开钱包,掏出钞票购买正版Windows,以换取微软为正版用户提供的Update升级服务,确保你电脑中各种写着秘密字样的文件不会在下一刻成为人人可以下载的公共资源。
10月23日,就在微软黑屏行动的新闻在互联网上炒得沸沸扬扬的时候,微软突然发布了一个紧急的Windows安全更新补丁,这个更新补丁的说明称,新补丁解决了服务器服务中一个秘密报告的漏洞。如果用户在受影响的系统上收到特制伪造的RPC请求后,攻击者可以利用此漏洞无需通过认证的运行任意代码(对于Windows Vista和Server 2008,可能需要进行认证)。这个漏洞可能被用于制作蠕虫利用。此安全漏洞可以通过恶意构造的网络包直接发起攻击,并且攻击者可以获取完整的权限,因此该漏洞很可能会被用于制作蠕虫以进行大规模的攻击。
而在Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上,发动攻击的黑客能够不通过任何身份验证即可利用此漏洞运行任意代码,执行一切他想执行的程序。根据国内反病毒机构安天实验室最新报告称,目前这个漏洞已经被黑客用于进行投放木马的网络攻击,这个名为“机密危(Gimmiv)”的攻击病毒会通过该漏洞向没有打MS08-067补丁的计算机植入木马程序,然后从被感染机器上盗窃敏感信息,并能够下载、运行其它的恶意程序。
重点提示!目前该漏洞能够影响 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 的所有受支持版本,此安全更新的等级为“严重”;对于 Windows Vista、Windows Server 2008 和 Windows 7 Beta 的所有受支持版本,此安全更新的等级为“重要”。特别是Windows Server 2003等服务器级别的Windows操作系统,受到的影响最大。
值得注意的是,近年来随着补丁比较技术的发展,每当微软发布重要的软件更新之后,黑客都可以快速的通过更新前与更新后的系统比较,追踪出更新补丁修复系统的关键技术点,从而迅速发现具体的漏洞并开发出能够利用该漏洞的攻击工具。正是由于这种攻击速度的加快,缩短了用户更新补丁躲避病毒的时间,而此次漏洞的蠕虫也随时可能出现,成为“冲击波”病毒的替代者。
MS08-067漏洞解密
这一次微软紧急发布MS08-067更新补丁,是微软近一年半以来首次打破每月定期发布安全公告的惯例而紧急发布了该更新,从这一点来看,此次漏洞的威胁性相当巨大。这一次漏洞的主要问题仍然出现RPC协议中,而当年肆虐网络的冲击波病毒也是由于Windows中的RPC出现问题,爆出的重大漏洞。
远程过程调用(Remote Procedure Call,RPC)是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序,而程序员无需额外地为这个交互作用编程。如果涉及的软件采用面向对象编程,那么远程过程调用亦可称作远程调用或远程方法调用。远程过程调用是一个分布式计算的客户端-服务器(Client/Server)的例子,它简单而又广受欢迎。远程过程调用总是由客户端对服务器发出一个执行若干过程请求,并用客户端提供的参数。执行结果将返回给客户端。由于存在各式各样的变体和细节差异,对应地衍生了各式远程过程调用协议,而且它们并不互相兼容。
补充知识:有关RPC的想法至少可以追溯到1976年以“信使报”(Courier)的名义使用。RPC首次在UNIX平台上普及的执行工具程序是SUN公司的RPC(现在叫ONC RPC)。它被用作SUN的NFC的主要部件。ONC RPC今天仍在服务器上被广泛使用。另一个早期UNIX平台的工具是“阿波罗”计算机网络计算系统(NCS),它很快就用做OSF的分布计算环境(DCE)中的DCE/RPC的基础,并补充了DCOM。
此次MS08-067的造成的具体原因与之前微软的DNS漏洞很相似,都是出现在程序边界问题的差错。MS08-067的具体原因为Windows中的ConPathMacros函数中的wcscpy在拷贝含有\..\..的长字符串时出现溢出。ConPathMacros函数中wcscpy位置执行复制操作,正常的字符串复制后就向下继续执行了,但对于构造的畸形的字符串代码wcscpy位置被两次调用,对于构造的畸形的字符串..第一次拷贝完成时会导致再次执行wcscpy,同时第二次拷贝的没有正确计算拷贝目标的地址,覆盖到wcscpy的返回地址,导致溢出。
实战入侵
MS08-067漏洞在微软推出补丁后的第一时间就被国外黑客组织公布PoC程序版本,这也是目前许多网站提供下载测试的最早一个版本,但是可能是开发过于匆忙,这个程序本身存在瑕疵,许多网络安全爱好者没有测试成功,而且PoC只是触发性的测试,并不具备利用价值,因此并没有收到太多的追捧。
但是,现在已经出现可以利用并实施网络攻击的有利用价值的Exp版本,因此相信今后几个月内,MS08-067将会是许多不勤于内网管理的公司的一场噩梦。而这场噩梦究竟有多恐怖哪?接下来我们就为大家实战演示MS08-067漏洞入侵的全部过程。
【入侵纪实】
攻击环境
发动进攻主机:Windows XP Sp3
被攻击目标主机:Windows Server 2003 (IP:192.168.3.76)
第一步:首先准备好MS08-067漏洞的Exp攻击程序,我们本次测试所使用的就是从互联网公开渠道下载的Exp程序。程序下载后解压缩放置到自己制定的文件夹中。
第二步:准备好攻击测试程序后,点击开始菜单中的“控制面板”,然后双击打开“管理工具”中的“服务”选项。在打开的“服务”窗口列表中,将描述为“支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。”的Server服务;描述为“维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。”的Computer Browser服务;描述为“创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。”的Workstation服务全部启动。如果不将这三项服务启动,Exp攻击程序将无法发动成功的攻击。
第三步:服务开启完成后,依次点击“开始菜单”中的“所有程序”,在弹出的菜单列表中单击“附件”中的“命令提示符”程序,点开之后进入到Exp程序所在目录。然后输入攻击指令。攻击指令相当简单,只需要输入Exp程序名称,然后输入打算攻击的目标主机IP地址即可。以我们的测试环境中的例子为:“MS08067exp.exe 192.168.3.76”输入后回车,此时屏幕如果显示:“SMB Connect OK!Maybe Patched!”则表示Exp程序溢出成功。
第四步:在进攻主机中打开系统安全管理工具“Atools”,然后点击左方菜单“基本工具”中的“端口管理”,检查本机系统中是否开启了一个端口好为“840”的端口。如果系统显示已经开启,则表示已经成功的监听并连接到了被攻击的目标计算机。
第五步:在确定成功溢出目标主机并开启监听端口之后,我们在进攻主机的CMD命令提示符窗口中输入“Telnet 192.168.3.76 4444”回车之后,就成功连接进入到了被攻击的目标主机。连接进入目标主机后,在CMD命令提示符窗口继续输入“net user antiy test /add”命令,此命令将会在目标主机的系统中添加一个用户名为antiy,密码为test的用户。命令成功完成后,再次输入“net localgroup administrators antiy /add”命令,此命令会将用户名为antiy的用户提升为系统管理员。
第六步:在成功提升为管理员之后,继续在CMD命令提示符窗口输入“net share c$=C: /user:2”将目标计算机的C盘共享。然后输入“net use \192.168.3.76ipc$ /user:antiy test”和“net use x: \192.168.3.76c$”命令,将对方C盘映射共享,此时你已经成功的入侵并可以随意获取对方系统盘中的文件了。
防范技术
根据MS08-067的严重性和危害性,建议局域办公网用户内的应该即时更新Windows操作系统的补丁。MS08-067的出现可能会让黑客获取到更多的可供挂马的服务器肉鸡,因此建议国内用户及时安装《安天防线》、《锐甲》等专业的木马查杀软件进行防护。而国内部分盗版用户由于受到windows黑屏事件影响,可能已经关闭了补丁升级机制,因此通过360等软件检测更新补丁。
局域网管理员可以通过防火墙和路由设备阻断TCP 139和445端口,禁用Server和Computer Browser服务。也可以通过Windows中的Internet连接防火墙,并取消“例外”选项卡中“文件和打印机共享”上的复选框。当然最一劳永逸的方法仍然是更新Windows补丁。