Andrea Beggi

Computers are useless. They can only give you answers.

Presunto buco di sicurezza in XP

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Ludo scova questo screencast che tratta di una falla abbastanza semplice da sfruttare alla quale in effetti non avevo mai pensato. Nel filmato si vede il servizio “Utilità di pianificazione”, a.k.a. Operazioni Pianificate a.k.a “at”, che gira con i privilegi dell’account system (Account di sistema locale), con facoltà analoghe all’amministratore.
Vi rimando allo screencast, che è comprensibilissimo anche se non conoscete l’inglese.
Io non sono riuscito a riprodurre la falla su un client XP SP2 facente parte di un dominio AD, in quanto un utente locale al computer e senza particolari privilegi amministrativi, non è in grado di utilizzare il comando “at” (Accesso negato). Se si prova a schedulare il processo cmd.exe tramite Operazioni Pianificate, esso gira con i privilegi dell’utente che lo ha creato, quindi non è in grado di effettuare la scalata verso un account amministrativo.
Ho provato ad aggiungere l’utente al gruppo “Power Users”, ma anche in questo caso non si può lanciare “at” da riga di comando.
La falla evidenziata non sembrerebbe efficace, almeno sui PC sui quali ho provato io. Potrebbe essere relativa ad una versione di XP pre-SP2, il filmato non chiarisce la versione utilizzata.
Sono riuscito a far funzionare il giochino solo se l’utente è almeno amministratore locale della macchina, ma in questo caso è tutto chiaramente inutile.

9 Commenti

pyp | #

Ho appena provato quanto riportato dallo screencap. FUNZIONA PERFETTAMENTE su una macchina in un dominio AD e con le ultime patch! Mamma mia che bucone!

Premetto che cmq sono amministratore della macchina e quindi at mi viene lanciato.

Non ho provato con un utente senza privilegi.

Quello che non sapevo e che l’utente SYSTEM a privilegi superiore ad administrator e che è che administrator non equivale al root di unix. Quindi l’utente SYSTEM in win equivale al root in unix.

Andrea | #

pyp, bucone dove? Se sei già amministratore locale i privilegi massimi sulla macchina li hai già, scalarla non serve a nulla.
Secondo me è una mezza bufala.

topo el fucka | #

ho provato a sfruttare l’exploit nelle nostre macchine di dominio nei laboratori di Dell in francia. funziona

Andrea | #

Comincio a stufarmi di informazioni approssimative. Utente amministratore? Livello di service pack?

Marco | #

Windows Xp Home, tutti gli aggiornamenti installati.

Ho provato sia con guest che con account limitato…at = accesso negato…penso anche io che la cosa sia una mezza bufala altrimenti secunia mi avrebbe già mandato una e-mail con i consueti toni catastrofici.

pyp | #

Nessuna bufala…. il mio utente è amministratore locale e con questa utenza non riesco a stoppare alcuni servizi che mi sono stati installati quando ho joinato il dominio. Per esempio sms e un servizio legato all’antivirus che ti installano in azienda.

Utilizzando questa tecnica sono riuscito a stoppare tutti i servizi che con l’utenza da ammnistratore non mi permetteva di stoppare. Stessa cosa per alcuni processi che non riuscivo a killare.

Quindi, anche se sono amministatore della macchina, l’utenza SYSTEM ha privilegi equiparabili al root di unix.

Il vantaggio che ne ricavo al momento è questo.

davide | #

Io ho provato ma il comando “at” non gira se non sei amministratore. La risposta è quella di “Acceso Negato” anche con macchine fuori dominio. LA cosa curiosa è che se si guardano le protezioni di at il gruppo Users sembrerebbe autorizzato ad esegurlo! Come altri programmi della system32 che hanno la stessa protezione.
Mentre, stranamente, è possibile stoppare explorer!

rxsx | #

Non funziona, è una bufala assoluta…
Ho provato su un Home SP2 con le ultime hotfixes…

silentman | #

(Con colpevole ritardo, ndF) E’ che quando si parla di buchi e di sicurezza, i wannabies corrono a frotte a riempirsi bocche e tastiere di hackz, 0dayz, exploitz, e tutto ciò che di cui fa figoz parlarez, perkè fa molto h4x0rzzz.

My 2 citties