2010-02-09:

Microsoft Windows CSRSS Local Privilege Elevation Vulnerability

windows:csrss:local priv escal:vulnerability:security:hacking
Dzisiaj Patch Tuesday, więc Microsoft opublikował Microsoft Security Bulletin Summary for February 2010. Jedną z luk (których w Summary jest 25) jest "wyresearchowana" przez j00ru i mnie luka (w tej właśnie kolejności, gdyż to j00ru ją znalazł, a później razem doprowadziliśmy do wynalezienia sposobu jej exploitacji) w procesie systemowym csrss.exe, która pozwala m.in. na podniesienie uprawnień lub ujawnienie wrażliwych danych.

Identyfikator luki wg. notacji Microsoft: MS10-011
CVE: CVE-2010-0023 (chociaż w chwili pisania posta za dużo tam nie ma)

Podatne wersje Windowsa:
* Windows 2000 x86 SP4
* Windows XP x86 SP2 i SP3
* Windows XP x86-64 SP2
* Windows Server 2003 x86 SP2
* Windows Server 2003 x86-64 SP2
* Windows Server 2003 Itanium SP2
(jak widać Visty, W7 ani 2008 tu nie ma ;>)

Póki co detale nie będą ujawnione :) (ale będą na pewno ujawnione w późniejszym terminie)
Powiedzieć mogę tyle, że błąd pozwalał wybranej aplikacji przetrwać wylogowanie się jej właściciela. Czyli, gdy zalogował się ktoś inny na tym samym komputerze (?terminalu dostępowym?) aplikacja nadał była w tle. Ba! Mogła nawet ingerować w nową sesję (wyświetlać okna, logować naciśnięcia klawiszy (oprócz danych logowania), 'wysyłać' naciśnięcia klawiszy, etc).
Jak można się domyślić, nie jest to standardowe 'click and root', a exploit na to wygląda zuuupełnie inaczej niż tradycyjne tego (local priv. escal.) typu exploity... co w zasadzie czynią tą lukę niewykorzystywalną (chyba że przez malware), ale bardzo ciekawą :)

OK, na razie tyle :)

Comments:

2010-02-10 00:01:30 = carstein
{
Dobra robota, doceniamy :)
}
2010-02-10 00:36:23 = Alex
{
Nietypowa i bardzo interesująca luka.

Dobra robota Panowie!

Pozdrawiam,
Alex
}
2010-02-10 10:26:34 = Jurgi
{
Gratulacje! To jest coś, po latach będzie można wnukom pokazywać załatane miejsce i mówić z dumą: a tu była „moja” luka! ;)
}
2010-02-10 11:20:04 = Paweł Goleń
{
Dawno, dawno temu czytałem o jakimś rootkit, który swoją obecność w systemie zaczynał w user mode, a następnie "szukał" uprawnień po to, by się przenieść do jądra. Między innymi monitorował wpisywane hasła, czy przypadkiem nie można ich wykorzystać do uwierzytelnienia jako administrator. Ta luka mogłaby być ciekawym uzupełnieniem dla tej strategii. Oczywiście jak zwykle nie potrafię teraz znaleźć o nim informacji...

Ciekawy scenariusz to też "współdzielone" komputery, na których taki pozostawiony proces też byłby "przydatnym" wynalazkiem.

Jedno pytanie - jak taka aplikacja zachowałaby się w przypadku serwera terminali?

Innymi słowy - nie przesadzałbym z tą "niewykorzystywalnością" :)
}
2010-02-10 12:30:02 = Piotr Konieczny
{
Gratuluję, dobra robota chłopaki :)
}
2010-02-10 16:17:43 = Borys Łącki
{
Jak pokazują różne ostatnie przypadki nawet "niewykorzystywalne" mogą mieć w określonych przypadkach znaczenie :]
Gratulacje !
}
2010-02-10 18:29:28 = magu
{
Gratulacje Gyn&j00ru!
}
2010-02-10 19:02:52 = pi3
{
:]
}
2010-02-10 22:36:46 = j4ck
{
Jak to niewykorzystywalną ? ;>
Jakby połączyć malware i Social Engineering to wyszło by całkiem sporo wariantów ataku.
Nawet z samym SE byłoby dużo :)
}
2010-02-11 17:23:25 = Gynvael Coldwind
{
Woah, ile komentarzy :)
Przyślę tu j00ru co by poczytał, w końcu gratulacje są też dla nie go :)))

A teraz imiennie (xsywowo?)...

@carstein
Thx :)

@Alex
Hehehe ano :)
Thx

@Jurgi
Thx :)
Hehe jeszcze kilka rzeczy "dla wnuków" niedługo będzie :)

@Paweł
Mhm, dokładnie o to mi chodziło pisząc "chyba że przez malware". Przyznaje, że nie wiedziałem, że już coś takiego istniało (chociaż podejrzewałem istnienie czegoś takiego... w końcu to logiczna kolej rzeczy, nie?;>)
Co do serwera terminali, to nie mam zieeeelonego pojęcia, nie mieliśmy okazji tego przetestować niestety w takim środowisku... Może jeszcze będzie okazja sprawdzić :)
Co do ""współdzielone" komputery", to się w pełni zgadzam. Idealny exploit dla dzieci do szkół w których "wredny admin zablokował pełne uprawnienia" ;p
Pisząc "niewykorzystywalny" miałem raczej na myśli "niewykorzystywalny podczas pentestów", gdzie w zasadzie używa się exploitów typu 'click and root" :)

@Piotr
Thx :)

@Borys
Ah, przyznaję rację :) "niewykorzystywalny" błąd z SSL zrobił niezłą furorę :)
Thx :)

@magu
Thx :)

@pi3
:] csii :]

@j4ck
I ponownie przyznaję rację...
"Panie adminie, panie adminie, XYZ mi tu nie działa, mógłby pan się p r z e l o g o w a c na swoje konto i zobaczyć co jest nie tak?" :)

}
2010-02-11 18:50:53 = radom
{
@Gyn wiem z doświadczenia, że w szkole większość adminów ma standardowe hasło na sbs.

Pozdrawiam
Radom
}
2010-02-22 15:14:04 = Gynvael Coldwind
{
@radom
;>
}

Add a comment:

Nick:
URL (optional):
Math captcha: 5 ∗ 1 + 4 =