Skip to content

Vulnerabilidad MS08-067 (grave vulnerabilidad en Windows)

octubre 28, 2008

Bueno, pues andaba visitando kriptopolis.org y me topo con esa vulnerabilidad… vi por ahí que era la MS08-067 y quise darme una vuelta a milw0rm a ver que encontraba de ella, bueno … pues les dejo la nota extraida de kriptopolis y al final unos links interesantes de entre los cuales uno en particular nos lleva al exploit con el fin de probarlo.

El mundillo de la seguridad anda bastante agitado en las últimas horas, desde el momento en que Microsoft anunció que se saltaría su ritmo habitual de parches periódicos para cerrar un grave agujero detectado en todos los sistemas Windows, desde Windows 2000 a Vista, pasando por XP, 2003, 2008 e incluso el mismísimo Windows 7.

Sin embargo la repercusión es diferente dependiendo del sistema operativo que utilice el sistema atacado. En el peor de los casos (Windows 2000, XP y 2003), la vulnerabilidad (calificada por Microsoft como “crítica”) proporciona acceso al sistema víctima a través de los recursos compartidos, permitiendo hacerse de forma remota con el control total y facilitando la ejecución de código, todo ello sin necesidad de ninguna autenticación y sin participación ni conocimiento alguno por parte del usuario de la máquina atacada, lo que permite automatizar el ataque mediante un gusano o similar. Al parecer, el firewall de SP2 evita el ataque, siempre que esté activado y no esté habilitada la compartición de ficheros e impresoras. En los casos menos graves (Vista y 2008 Server) parece que sólo es posible provocar denegaciones de servicio. Ver mas

Primer exploit: http://www.milw0rm.com/exploits/6841

Y bueno, tratando de probar el exploit, me fijé que no hay mucha información de como usarlo… no he tenido tiempo de checar el código, pero igual revisándolo podemos entender un poco más de como actua… fuera de eso, buscando en la red uno se topa con muchas páginas donde se comenta sobre el exploit pero está en chino… en fin, la forma en la que yo dedusco que se utiliza es la siguiente… abrir una consola en windows y una vez descargado el archivo del exploit ir a la carpeta donde esté el archivo MS08-067.exe y hacemos:

d:\Good> net use \\192.168.1.2\ipc$ /user:”” “”
D:\Good> MS08-067.exe 192.168.1.2

Al parecer en la máquina que tengo con windows no funcionó, me salió un aviso de que probablemente era por que estaba parcheada.

Segundo Exploit: Descarga directa en

http://milw0rm.com/sploits/2008-ms08-067.zip

En ese comprimido ya incluyen las instrucciones:
--------------------------------------
In vstudio command prompt:

  mk.bat

next:

  attach debugger to services.exe (2k) or the relevant svchost (xp/2k3/...)

  net use \\IPADDRESS\IPC$ /user:user creds
  die \\IPADDRESS \pipe\srvsvc

  In some cases, /user:"" "", will suffice (i.e., anonymous connection)

You should get EIP -> 00 78 00 78, a stack overflow (like a guard page
violation), access violation, etc.  However, in some cases, you will get
nothing.

This is because it depends on the state of the stack prior to the "overflow".
You need a slash on the stack prior to the input buffer.

So play around a bit, you'll get it working reliably...
-------------------

Salu2!

Fuentes:

Información mas detallada sobre la vulnerabilidad: http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

Página del 1er exploit: http://www.milw0rm.com/exploits/6841

Del 2do exploit: http://blog.smdcn.net/blog/?p=267

Foro donde se habla del exploit: http://www.sebug.net/bbs/viewthread.php?tid=397

One Comment leave one →
  1. junio 30, 2009 10:30 am

    Netbios :p

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: