Un nuevo agujero en NT 4.0 con Information Server puede permitir a un
atacante con acceso remoto a un directorio con permisos de escritura
y ejecución, modificar cualquier password, incluida la de administrador.
El atacante debe tener acceso a un directorio del servidor web en el
que se dispongan de permisos de ejecución. Esto puede conseguirse a
través de un ataque por fuerza bruta a través de netbios, ftp,
ColdFusion o cualquier otra debilidad que permita obtener la password
de un usuario. El atacante debe subir a un directorio ejecutable del
servidor el programa netcat (nc.exe) y el cmd.exe. Esto es, deberá
subirse al directorio cgi-bin, scripts, iisadmpwd, o cualquiera similar.
Al introducir la siguiente línea en el navegador (quizás sea necesario
sustituir por %20 los espacios):
http://www.servidor.com/cgi-bin/cmd.exe?/c cgi-bin\nc.exe -L -p 10000 -t -e cmd.exe
el atacante abrirá una sesión DOS remota en el puerto 1000 del servidor,
con lo que bastará efectuar un telnet al puerto 1000 para entrar en
dicha sesión dentro del directorio cgi-bin.
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.
C:\InetPub\wwwroot\cgi-bin>
Al efectuar el telnet, se hace con los permisos del usuario que inició
la sesión, es decir la cuenta IUSR_NombreMaquina. El siguiente paso,
viene de la mano de los comandos net. El bug sólo funciona si se
estableció «net stop server» por un administrador u otro usuario con
los permisos necesarios. Si a a través de la sesión telnet se introduce
«net start server» el usuario IUSR_NombreMaquina podrá iniciar el
servicio. Pero además, el atacante puede también introducir «net user
administrator nuevapassword» y conseguirá cambiar con éxito la password
de administrador.
Si el servicio netlogon no se inicia con «net start server», el
atacante puede intentar «net start netlogon», y podrá ser capaz de
mapear cualquier unidad a su ordenador. Si es necesario puede llegar
a compartir «ADMIN$», «C$», etc. Después de fijar la nueva password
de administrador y el servicio netlogon, el atacante podrá administrar
el IIS del ordenador remoto y modificar los permisos de la cuenta
IUSR_NombreMaquina a administrador.
Tras ello, se abre una nueva sesión DOS remota a través del navegador,
pero en esta ocasión, el proceso se inicia con derechos de administrador,
merced al cambio anteriormente realizado. Tras esto, el atacante no
sólo tiene control total de la máquina sino que además puede hacer uso
de utilidades DOS para consola y programas del kit de recursos como
tlist.exe, kill.exe, netsvc.exe, etc. para que la invasión pase
inadvertida.
Más información:
Aviso
Netcat
Deja un comentario