Monday, March 23, 2009

Churrasco, el 6 a 0 a Peru y muchas otras cosas mas



Estos ultimos tiempos estoy viendo noticias sobre el mundo de la seguridad informatica, donde los argentinos aparecemos, para bien o para mal.

A la nota sobre el efecto del virus Conficker en nuestro pais y su propagacion desproporcinal, debido al numero de Windows piratas por estas pampas, hoy escribi sobre el estudio de la gente de Core ( que siempre estan en la cresta de la ola de SI ) y ahora voy a nombrar a otro argentino que le pego a Windows en la linea de flotacion.

Cesar Cerrudo de la empresa Argeniss realizo una presentacion el ultimo año sobre una vulnerabilidad llamada Token Kidnapping o Impersonation.

En criollo seria la posibilidad de suplantar la identidad de un usuario con privilegios superiores para ejecutar aplicaciones que de otra manera no seria posible.

La presentacion explica muy bien este proceso y da cuenta que hoy en dia, Windows XP y Windows 2003 no cuentan con proteccion para este tipo de ataques, Windows Vista y Windows 2008 poseen mas defensas pero aun asi es necesario aplicar workarounds para no ser victimas de esta vulnerabilidad.

Luego de publicado el trabajo de Cerrudo, Microsoft divulgo un alerta Vulnerability in Windows Could Allow Elevation of Privilege con recomendaciones hasta la publicacion de un patch definitivo.

Pero dado que esto es mas bien un problema de diseño, el patch aun no aparecio.

Pero si aparecio un nuevo tipo de ataque que aprovecha esta vulnerabilidad y hace uso de un POC que publico Cerrudo meses despues de Microsoft emitir su alerta.

SANS publico la historia de un incidente en el cual cuenta como Churrasco ( el POC publicado por Cerrudo ) fue utilizado para tomar control de un server en el cual IIS corria bajo un usuario con pocos privilegios.

Es comico encontrar la palabra Churrasco en la explicacion del ataque :

The attackers uploaded a local exploit called Churrasco2. This is a PoC created by a well known researcher Cesar Cerrudo and published back in October 2008. What makes it even worse is that it work on both Windows Server 2008 and Server 2003. The exploit creates a backdoor shell after it steals the SYSTEM token. The program’s usage description says it all:

/Churrasco/-->Usage: Churrasco2.exe ipaddress port



Luego de tener los privilegios de System, cayo la ultima barrera. Llegamos al Ring 0.

SANS aclara que ningun Antivirus detecto el exploit.

Hasta que Microsoft publique el patch hay que prestar atencion a las recomendaciones dadas.

fuente : http://blogs.zdnet.com/security/?p=2894

No comments: