Kandu.dk - DebPloit exploit


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

DebPloit exploit
Fra : Arne Eckmann

Dato : 08-04-02 03:13

Hvilke erfaringer har man her i gruppen med DebPloit exploit?

Jeg er selvfølgelig ikke interesseret i links til informationer på
internettet, som jeg jo selv har fundet frem til for flere uger siden.

Såvidt jeg har forstået, er DebPloit exploit en sikkerhedsbrist
i NT/2K's debugging subsystem, der tillader en hvilken som
helst bruger/gæst på et netværk at eksekvere processer, som
om vedkommende var administrator på det lokale system.

Dette vil i praksis sige, at enhver der har lokal adgang til en
computer (NT/2K), uden videre kan opnå samme rettigheder
som en administrator (lokalt), og dermed kan gøre hvad
vedkommende lyster på den pgl. computer.

Det der undrer mig er, at selvom dette hul har været offentligt
kendt siden 9 marts 2002, er det tilsyneladende ikke patched
i MS' efterfølgende sikkerhedsopdateringer.

mvh
Arne

Peter Kruse (08-04-2002)

Kommentar
Fra : Peter Kruse

Dato : 08-04-02 16:53

"Arne Eckmann" <arne@eckmann.net> skrev i en meddelelse
news:3cb0fcc3$0$68704$edfadb0f@dspool01.news.tele.dk...

Hej Arne,

> Hvilke erfaringer har man her i gruppen med DebPloit exploit?

Personligt har jeg ikke mange Blink

> Såvidt jeg har forstået, er DebPloit exploit en sikkerhedsbrist
> i NT/2K's debugging subsystem, der tillader en hvilken som
> helst bruger/gæst på et netværk at eksekvere processer, som
> om vedkommende var administrator på det lokale system.

Det er korrekt - mere præcist i SMSS. Og exploitet er i virkeligheden
relativt enkelt. En "ondsindet" lokal bruger kan forbinde sig til LPC (Local
Procedure Call) og her lave en CreateProcess SsApi mod målet. Herfra kan den
ondsindede bruger afvikle programmer under system kontoen. Et virkende
idiotsikkert exploit er forlængst på "gaden".

> Dette vil i praksis sige, at enhver der har lokal adgang til en
> computer (NT/2K), uden videre kan opnå samme rettigheder
> som en administrator (lokalt), og dermed kan gøre hvad
> vedkommende lyster på den pgl. computer.

Tja, sådan cirka ...

> Det der undrer mig er, at selvom dette hul har været offentligt
> kendt siden 9 marts 2002, er det tilsyneladende ikke patched
> i MS' efterfølgende sikkerhedsopdateringer.

Skal vi ikke lade den stå og lyse et øjeblik ...

I mellemtiden kan du hente et fix som flytter processen andetsteds.

Fix og sourcekoden kan hentes på følgende URL:
http://www.smartline.ru/software/DebPloitFix.zip

Jeg testede fixet på min W2k kasse og det virker efter hensigten, men det er
dog kun "midlertidigt" og jeg vil anbefale at man patcher med Microsoft
opdateringen når den engang bliver frigivet (jeg behøver vel ikke sige at
jeg ikke anbefaler at køre dette fix på kritiske systemer?).

Mon ikke MS har opprioriteret arbejdet med at lukke et par huller i
OfficeXP?

Venligst
Peter Kruse

Arne Eckmann (08-04-2002)

Kommentar
Fra : Arne Eckmann

Dato : 08-04-02 21:17

"Peter Kruse" <kruse@pc.dk> skrev i en meddelelse:

> I mellemtiden kan du hente et fix som flytter processen andetsteds.
>
> Fix og sourcekoden kan hentes på følgende URL:
> http://www.smartline.ru/software/DebPloitFix.zip

Ja det fix har jeg jo også hentet for nogen tid tilbage.
Og ligesom dig har jeg da også konstateret, at det
virker efter hensigten. Ligesom jeg heller ikke har
oplevet problemer, der kan henføres til dette patch.

Nu undrer jeg mig blot over, hvad der får MS til at
tøve med at komme med et officielt patch?

I starten af marts nåede jeg tilfældigvis at få patched
mine pc'er med et andet patch, som MS trak tilbage
og fjernede fra WindowsUpdate, allerede efter 10
minutter - og det ikke fordi den pgl. patch skadede
noget: Den virkede blot ikke godt nok.

Kan det tænkes, at MS nu tøver med at frigive et
DebPloit patch, fordi de ikke vil risikere endnu en
forhastet frigivelse? Blink

mvh
Arne

Povl H. Pedersen (08-04-2002)

Kommentar
Fra : Povl H. Pedersen

Dato : 08-04-02 23:26

On Mon, 8 Apr 2002 22:16:46 +0200,
Arne Eckmann <arne@eckmann.net> wrote:
> Kan det tænkes, at MS nu tøver med at frigive et
> DebPloit patch, fordi de ikke vil risikere endnu en
> forhastet frigivelse? Blink

Lyder usandsynligt. Jeg tror, at det i stedet skyldes at
enten Microsoft eller andre udnytter denne exploit i diverse
software, og al denne software også skal patches for at virke
igen.

Det nytter ikke noget at reparere Windows hvis dine programmer
så ikke kan køre.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]

Arne Eckmann (09-04-2002)

Kommentar
Fra : Arne Eckmann

Dato : 09-04-02 01:46

"Povl H. Pedersen" <nospam@home.terminal.dk> skrev:

> Det nytter ikke noget at reparere Windows hvis dine programmer
> så ikke kan køre.

Det er jo så sandt, som det er skrevet Blink

Og det er faktisk også derfor jeg spørger,
hvilke erfaringer man har gjort med patchen
her i gruppen. Blink

mvh
Arne

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste