Данный эксплоит был опубликован 29 апреля 2004 года. С его помощью удалённый пользователь может получить полный контроль над уязвимой системой. Под ударом оказались Windows 2K\XP как английской, так и русской версии.
В этой статье я опишу основные моменты использования MS04011 Lsasrv exploit.
,-=-=-----=-=-, Soft `-=-=-----=-=-`
Для работы нам понадобится сам эксплоит, сканер портов и любой Telnet клиент. Исходники эксплоита лежать здесь - HOD-ms04011-lsasrv-expl.c (http://www.web-hack.ru/exploit/exploit.php?go=157) В качестве сканера мы будем использовать SuperScan (http://www.web-hack.ru/download/download.php?go=66). Из Telnet клиентов могу посоветовать SecureCRT (http://www.vandyke.com) и Putty (http://www.web-hack.ru/download/info.php?go=35).
,-=-=-----=-=-, Target `-=-=-----=-=-`
Для начала нам нужно найти подходящую цель для атаки. Конечно, можно воспользоваться "методом научного тыка", но мы рассмотрим более надёжные варианты Как известно, на атакуемой системе должен быть открыть 445 порт, этим мы и воспользуемся. Мы будем сканировать нужные IP-диапазоны в поисках 445 порта. В этом нам и поможет SuperScan. При желании можно воспользоваться любым другим сканером, но я остановился именно на SuperScan так как он имеет удобный интерфейс, не требует инсталляции, работает быстро да ещё и распространяется бесплатно =) Углубляться в его работу я не буду, так как особых проблем это вызвать не должно.
Итак, по завершении работы SuperScan выдаёт нам следующий результат:
Это именно то что нам нужно. Использование сканера удобно когда нам нужно получить информацию с компьютеров конкретного ip-диапазона(например для получения dialup аккаунтов).
,-=-=-----=-=-, Attack `-=-=-----=-=-`
Теперь перейдём к самому процессу взлома. Запускаем эксплоит(обязательно указывая версию ОС, атакуемый IP и bindport):
[*] Target: IP: 57.66.134.168: OS: WinXP Professional [universal] lsass.exe [*] Connecting to 57.66.134.168:445 ... [-] Sorry, cannot connect to 57.66.134.168:445. Try again...
Не вышло, эксплоит не смог присоединиться к атакуемому компьютеру. Причин этому может быть несколько: - помешал запущенный Firewall; - объект атаки оказался пропатчен; - не подошла версия операционной системы; - компьютер жертвы вышел из сети ...
Однако как сказал Воланд, "человек смертен, но это было бы ещё полбеды. Плохо то, что он иногда внезапно смертен, вот в чём фокус!", так что мы не будем останавливаться и попытаем счастье на следующей жертве.
[*] Target: IP: 57.66.134.187: OS: WinXP Professional [universal] lsass.exe [*] Connecting to 57.66.134.187:445 ... OK [*] Attacking ... OK
Да, здесь нам повезло гораздо больше. Удачно прошёл как процесс присоединения, так и процесс эксплоитинга. Остаётся только запустить любимый Telnet клиент и присоединиться к взломанному компьютеру. IP: 57.66.134.187, Port: 11123
Microsoft Windows XP [Версия 5.1.2600] (С) Корпорация Майкрософт, 1985-2001.
C:\WINDOWS\system32>
,-=-=-----=-=-, Patch `-=-=-----=-=-`
Обезопасить себя от данной угрозы достаточно просто. Нужно скачать патч соответствующий вашей операционной системе. Найти его можно по следующему адресу - http://www.microsoft.com/technet/security/...n/MS04-011.mspx
Так же рекомендуется установить Firewall, что поможет защитить компьютер от атак подобного рода.
,-=-=-----=-=-, 7he 3nd `-=-=-----=-=-`
В первые дни после опубликования эксплоита, уязвимой была практически каждая вторая операционная система. 2 мая появился червь получивший название Sasser (Worm.Win32.Sasser.a и Worm.Win32.Sasser., использующий данную уязвимость. Как всегда, после появления такого рода вирусов, патчить компьютеры начинают все подряд, так получилось и на этот рас. Учесть данного эксплоита проста и банальна, число уязвимых систем с каждым днём будет уменьшаться пока очень скоро не сойдёт на нет.
p.s. в этой статье я описал лишь процесс проникновения в систему. Но это только первый шаг, у нас появляется много возможностей, получать/отправлять файлы, устанавливать трояны и прочий soft... но это уже совсем другая история
