/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
DebPloit exploit
Fra : Arne Eckmann


Dato : 08-04-02 03:13

Hvilke erfaringer har man her i gruppen med DebPloit exploit?

Jeg er selvfølgelig ikke interesseret i links til informationer på
internettet, som jeg jo selv har fundet frem til for flere uger siden.

Såvidt jeg har forstået, er DebPloit exploit en sikkerhedsbrist
i NT/2K's debugging subsystem, der tillader en hvilken som
helst bruger/gæst på et netværk at eksekvere processer, som
om vedkommende var administrator på det lokale system.

Dette vil i praksis sige, at enhver der har lokal adgang til en
computer (NT/2K), uden videre kan opnå samme rettigheder
som en administrator (lokalt), og dermed kan gøre hvad
vedkommende lyster på den pgl. computer.

Det der undrer mig er, at selvom dette hul har været offentligt
kendt siden 9 marts 2002, er det tilsyneladende ikke patched
i MS' efterfølgende sikkerhedsopdateringer.

mvh
Arne




 
 
Peter Kruse (08-04-2002)
Kommentar
Fra : Peter Kruse


Dato : 08-04-02 16:53

"Arne Eckmann" <arne@eckmann.net> skrev i en meddelelse
news:3cb0fcc3$0$68704$edfadb0f@dspool01.news.tele.dk...

Hej Arne,

> Hvilke erfaringer har man her i gruppen med DebPloit exploit?

Personligt har jeg ikke mange

> Såvidt jeg har forstået, er DebPloit exploit en sikkerhedsbrist
> i NT/2K's debugging subsystem, der tillader en hvilken som
> helst bruger/gæst på et netværk at eksekvere processer, som
> om vedkommende var administrator på det lokale system.

Det er korrekt - mere præcist i SMSS. Og exploitet er i virkeligheden
relativt enkelt. En "ondsindet" lokal bruger kan forbinde sig til LPC (Local
Procedure Call) og her lave en CreateProcess SsApi mod målet. Herfra kan den
ondsindede bruger afvikle programmer under system kontoen. Et virkende
idiotsikkert exploit er forlængst på "gaden".

> Dette vil i praksis sige, at enhver der har lokal adgang til en
> computer (NT/2K), uden videre kan opnå samme rettigheder
> som en administrator (lokalt), og dermed kan gøre hvad
> vedkommende lyster på den pgl. computer.

Tja, sådan cirka ...

> Det der undrer mig er, at selvom dette hul har været offentligt
> kendt siden 9 marts 2002, er det tilsyneladende ikke patched
> i MS' efterfølgende sikkerhedsopdateringer.

Skal vi ikke lade den stå og lyse et øjeblik ...

I mellemtiden kan du hente et fix som flytter processen andetsteds.

Fix og sourcekoden kan hentes på følgende URL:
http://www.smartline.ru/software/DebPloitFix.zip

Jeg testede fixet på min W2k kasse og det virker efter hensigten, men det er
dog kun "midlertidigt" og jeg vil anbefale at man patcher med Microsoft
opdateringen når den engang bliver frigivet (jeg behøver vel ikke sige at
jeg ikke anbefaler at køre dette fix på kritiske systemer?).

Mon ikke MS har opprioriteret arbejdet med at lukke et par huller i
OfficeXP?

Venligst
Peter Kruse




Arne Eckmann (08-04-2002)
Kommentar
Fra : Arne Eckmann


Dato : 08-04-02 21:17

"Peter Kruse" <kruse@pc.dk> skrev i en meddelelse:

> I mellemtiden kan du hente et fix som flytter processen andetsteds.
>
> Fix og sourcekoden kan hentes på følgende URL:
> http://www.smartline.ru/software/DebPloitFix.zip

Ja det fix har jeg jo også hentet for nogen tid tilbage.
Og ligesom dig har jeg da også konstateret, at det
virker efter hensigten. Ligesom jeg heller ikke har
oplevet problemer, der kan henføres til dette patch.

Nu undrer jeg mig blot over, hvad der får MS til at
tøve med at komme med et officielt patch?

I starten af marts nåede jeg tilfældigvis at få patched
mine pc'er med et andet patch, som MS trak tilbage
og fjernede fra WindowsUpdate, allerede efter 10
minutter - og det ikke fordi den pgl. patch skadede
noget: Den virkede blot ikke godt nok.

Kan det tænkes, at MS nu tøver med at frigive et
DebPloit patch, fordi de ikke vil risikere endnu en
forhastet frigivelse?

mvh
Arne




Povl H. Pedersen (08-04-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 08-04-02 23:26

On Mon, 8 Apr 2002 22:16:46 +0200,
Arne Eckmann <arne@eckmann.net> wrote:
> Kan det tænkes, at MS nu tøver med at frigive et
> DebPloit patch, fordi de ikke vil risikere endnu en
> forhastet frigivelse?

Lyder usandsynligt. Jeg tror, at det i stedet skyldes at
enten Microsoft eller andre udnytter denne exploit i diverse
software, og al denne software også skal patches for at virke
igen.

Det nytter ikke noget at reparere Windows hvis dine programmer
så ikke kan køre.

--
Povl H. Pedersen - ALF#2 - D-482 - nospam@home.terminal.dk
Return e-mail is a spam tarpit.
Use 2 letters from first+last name to form username@[127.0.0.1]


Arne Eckmann (09-04-2002)
Kommentar
Fra : Arne Eckmann


Dato : 09-04-02 01:46

"Povl H. Pedersen" <nospam@home.terminal.dk> skrev:

> Det nytter ikke noget at reparere Windows hvis dine programmer
> så ikke kan køre.

Det er jo så sandt, som det er skrevet

Og det er faktisk også derfor jeg spørger,
hvilke erfaringer man har gjort med patchen
her i gruppen.

mvh
Arne




Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste