Описание:
В мартовском выпуске я описывал уязвимость в сервисе Lsass. Недавно появился свежий и более функциональный эксплойт, открывающий на уязвимой машине шелл. Хакер способен получить полный доступ к серверам под управлением WinXP/2k, причем админа не спасут даже установленные сервис-паки — бага таится во всех выпущенных пакетах от SP1 до SP4. Суть уязвимости я уже описывал — это обычное переполнение буфера. Новый сплойт снабжен мощным шеллкодом, который и открывает заветный шелл на указанном порту. Более того, спустя неделю после выхода эксплойта, была представлена софтина, которая автоматически сканирует заданный диапазон адресов на уязвимость и рутает бажные машины. Таким образом, теперь все действия взломщика сводятся к указанию диапазона IP-адресов. Берегитесь, ленивые админы!
Защита:
Защититься можно двумя способами. Во-первых, следует установить обновление от MS (www.xakep.ru/post/21189/default.asp). Во-вторых, можно защитить систему обычным файрволом, для этого рекомендуется пресекать все внешние подключения на следующие порты: TCP: 135, 139, 445, 593; UDP: 135, 137, 138, 445.
Ссылки:
Скачать исходный код эксплойта можно по адресу www.securitylab.ru/_Exploits/2004/04/HOD-ms04011-lsasrv-expl.c. Для ленивых — ссылка на уже скомпилированный бинарник: www.openwww.net/soft/HOD-ms04011-lsasrv-expl.exe. Для самых ленивых — линк на сканер уязвимых машин: www.security.nnov.ru/files/lsassaroot.zip.
