DoS hul i IIS

#1 - mikbund
18. okt. 2002 10:30

Det tager vel ikke mere end 4 timer at rette inden MS har en patch klar?

#2 - Hektor
18. okt. 2002 10:40

#1 mikbund:
Det har de allerede ... den kaldes fdisk.exe eller format.[com].

#3 - BurningShadow
18. okt. 2002 10:47

Der er intet problem så stort, at der ikke findes en hammer der er større.

#4 - El_Coyote
18. okt. 2002 10:53

"og folk på den korrekte måde åbner en url til en bestemt dll-fil"

#5 - SaD
18. okt. 2002 10:56

Flot håndtering dér ?

Ingen angivelse af IIS version.
Ingen angivelse af løsning - kun udnyttelse.
Ingen angivelse af forsøg på kontakt til Microsoft om dette.

Og så lige et tip om at man jo kan bruge Spike til at udnytte fejlen.

Destruktive spader.

#6 - BurningShadow
18. okt. 2002 11:02

#5
Det kaldes [for|mis]bruger service.

#7 - Deternal
18. okt. 2002 11:07

#4: Bemærk anførselstegn.
#5: Aha, dvs. at det er bedre at folk som alligevel finder den information bare kan bruge det og system administratorer ingen mulighed har for at circumvente det? Du har hørt for meget på MS hvis du virkelig selv tror det er en fordel at hemmeligholde security bugs bare fordi MS ikke magter at udsende patches. Faktum er at de security bugs som ikke bliver offentliggjort er MS lang tid om - det værste eksempel jeg har hørt er 6 måneder. Det er meget bedre at jeg kender problemet og har mulighed for at teste måder at komme uden om det på - og så til sidst offentlig gøre den work-around. Dette har man IKKE mulighed for hvis man ikke kender problemets natur.

Jeg vil sige at det er meget mere destruktivt at hemmeligholde disse ting.

#8 - sKIDROw
18. okt. 2002 11:31

#7

Rekorden er vist 6 år.
En bug der crashede ALLE udgaver af Windows.
Er først for nylig blevet rettet.. ;)
http://www.zappadoodle.com

#9 - SaD
18. okt. 2002 11:37

Du læser jo ikke hvad jeg skriver.

Hvis denne bug-melding havde formatet "Se her hvad du skal/kan gøre for at beskytte dig imod en ny bug" kunne jeg tage det alvorligt. Altså rettet imod server-administratorer.
Men det her er rent "Se her hvad du kan gøre for at smadre en IIS server".

Det har ikke en kæft med "security through obscurity" at gøre.

#10 - Kargan
18. okt. 2002 11:41

>SaD

Jeg vil give dig fuldstændig ret.

#11 - Deternal
18. okt. 2002 11:41

#8: hehe den der 49 timers bug?
#9: Ehh.. *HVORDAN* skulle folk kunne finde frem til en løsning på problemet eller en omgåelse af problemet hvis de *IKKE* kender problemet? Du fatter simpelthen ikke at man som administrator INTET kan gøre hvis man INGEN ide har om eksistensen af en bug? - Uha man skal til at tænke selv - ja...... godt så. Hvis man ikke har kendskab til sit system og kan tweake det for at undgå ubehageligheder som denne er man enten for dum til at styre et system eller også er systemet for dårligt dokumenteret.

Det giver simpelthen ingen mening at hemmeligholde bugs bare fordi at så kan folk misbruge det (de skal nok finde ud af det af anden vej alligevel). Men administratorerne, lad os hemmeligholde det for dem - så de INGEN mulighed har for at omgå problemet. Og jeg det er lige præcis security thru obscurity du taler om. At de ikke har lavet en bageklar formel for dig betyder ikke at man som administrator ikke kan bruge informationen til at sikre sit system.

Buggen kan også patches ret hurtigt - IIS skal bare patches så den ignorerer requests til den nævnte .dll fil - og hvis jeg husker ret poster securiteam og securityfocus først bugs public 1 uge efter de er blevet meldt.

#12 - Malthe-man
18. okt. 2002 11:45

#2
Fuck hvor dumt sagt...!! Var det et forsøg på en vits.....?

#13 - sKIDROw
18. okt. 2002 11:45

#11

Den er beskevet på linket, jeg fatter nada C.. ;)

#14 - SaD
18. okt. 2002 11:48

@ Deternal,
Du fatter ikke en hat, din kegle.

Der står INTET om hvad man kan/skal gøre for at sikre sig imod den bug som server-administrator.

Der står KUN noget om hvad man kan gøre for at udnytte den.

#15 - Oculus
18. okt. 2002 11:54

"Du fatter simpelthen ikke at man som administrator INTET kan gøre hvis man INGEN ide har om eksistensen af en bug?"

LOL, klap lige kindhesten Deternal, du er jo fuldstændig gået fejl af det indlæg fra venstre dér.

Manden gør jo bare opmærksom på at der er en konstruktiv og en destruktiv måde at informere folk på, og i det her tilfælde så var linket af den mere destruktive slags.

#16 - Deternal
18. okt. 2002 11:54

#14: ehm hvad er det du ikke forstår?

Ad. 1: Første punkt i at løse et problem er at forstå hvad problemet er.
Ad. 2: Næste punkt er ud fra problemes natur at teste om det kan omgås.
Ad. 3: Test om problemet kan disables.
Ad. 4: Virker intet af det overstående, er det så muligt at slå servicen fra.
Ad. 5: Kræv patch af din leverandør.
Ad. 6: Gennemgå 2+3 mere minutiøst hvis bug'en er kritisk nok til at kræve det.

Jeg ved da udemærket der intet står på siden om hvordan man løser det - de har ikke haft mulighed for at finde en løsning der virker på deres test systemer.

Man at jeg ikke skulle have mulighed for at finde en løsning indtil MS magter at udsende en patch er da kun en dårligdom.

Men du vil MEGET hellere have at JEG ikke har den mulighed fordi at det så er MULIGT at nogle folk ikke misbruger buggen (den vil være kendt anyway og den vil efter AL sandsynlighed ikke blive brugt mindre - men det er du ligeglad med, for dig er det bare fedt at administratorer ikke har mulighed for selv at finde en løsning - hurra for dig og dit *jeg nægter at forstå men vil gerne flame* attitude).

#17 - Hektor
18. okt. 2002 11:55

#14 SaD:
"Der står INTET om hvad man kan/skal gøre for at sikre sig imod den bug som server-administrator."

Fuldstændigt korrekt ... men der står:

POST /_vti_bin/shtml.dll HTTP/1.0

Nu er jeg ikke ekspert i IIS, men umiddelbart tyder det på for mig at se, at jeg skal finde shtml.dll (ligger i %windir%system32dllchache" og omdøbe eller flytte den.

Jeg er ret sikker på, at folk der roder med IIS til dagligt kan finde bedre metoder, men min burde også virke.

#18 - Deternal
18. okt. 2002 11:56

#15: nej han gør opmærksom på at han intet basalt om sikkerhed forstår, og angriber mig så når jeg prøver at forklare ham det.

#19 - Oculus
18. okt. 2002 12:00

Deternal, hvis du nu køler lidt ned og læser hele tråden igennem igen så vil du nok se at du er personen der startede spydighederne i det her tilfælde ;)

#20 - Deternal
18. okt. 2002 12:02

#19: han startede i #5 - så fulgte jeg op. Da jeg postede nyheden her er det altså også et direkte angreb på mig.

#21 - SaD
18. okt. 2002 12:07

@ Deternal,
"de har ikke haft mulighed for at finde en løsning der virker på deres test systemer." - Deternal.

LOL - det har du nemligt heeeeelt sikkert det store indblik i.

Nu skal jeg skære det ud i pap for dig, ven.

Hvis du læser den bug-melding minutiøst igennem (og det burde gå hurtigt for den er meget kort) så er formatet følgende:
1. Kort beskrivelse af fejlen.
2. Sådan udnytter (exploit´er) du den manuelt.
3. Sådan udnytter (exploit´er) du den med en proxy vi giver dig link til.
4. Mail-adresser til dem der vil klappes på ryggen for at have "fundet" fejlen.

Ikke et pip om noget som helst andet - såsom forsøg på løsning, forsøg på gode råd til administratorer, forsøg på kontakt til dem der globalt kan gøre noget ved, Microsoft. INTET konstruktivt.

#22 - Deternal
18. okt. 2002 12:09

#21: Det at poste fejlen er i sig selv konstruktivt.

#23 - Oculus
18. okt. 2002 12:09

"Destruktive spader."

Da det er skrevet i flertal er jeg temmelig sikker på at det ikke var rettet mod dig ;)

#24 - SaD
18. okt. 2002 12:10

@ Hektor,
Ja - ligesom jeg ligeledes bare kan omdøbe eller flytte asp.dll eller explorer.exe hvis der skulle findes fejl i dem? De bruges jo alligevel ikke til noget, ligesom shtml.dll´en ....

Desuden diskvalificerer du allerede dig selv i indlæg #2 ...

#25 - Djinnn
18. okt. 2002 12:11

Hektor --> Den hedder altså FORMAT.COM ;-)

#26 - Hektor
18. okt. 2002 12:13

#24 SaD:
Jeg sagde ikke, at det var en god løsning ... men har du en bedre idé? Det er ligesom lidt svært at putte tandpastaen ind i tuben igen.

#27 - SaD
18. okt. 2002 12:18

@ Hektor,
Nej - jeg har sgu ikke en bedre idé; jeg er arkitektstuderende og ikke programmør :)
Den eneste reelle "gode" idé, er at trække netstikket ud af sin server.

Men lige nu sidder der et hav af scriptkiddies derude og hax0rer med Spike - alene på grund af den her tumpede måde at håndtere bug-meldinger på.
Spild af tid - destruktivt - dyrt.

#28 - Deternal
18. okt. 2002 12:19

Lad os lave en analogi - biler:
Hvis man tipper sædet på den rigtige måde og bruger en barnestol vil man - hvis man laver et 180 graders sving kunne kvæle barnet.

Den bug må vi nok hellere lade være med at fortælle folk om, fordi ellers kunne det være nogen udnyttede den.

enuff said.

Og hektor lad nu vær med at være en destruktiv spade ik? :P

#29 - SaD
18. okt. 2002 12:35

@ Deternal,
Få lige tungen ud af røven på Hektor - han er min biatch :)

Lad os lave en anden og mere præcis analogi end din:

Biler.
Jeg hader Ford, derfor bruger jeg al den tid jeg ellers kunne have brugt på at være konstruktiv og lave min egen bil bedre, på at finde fejl hos Ford biler.
En dag lykkes det mig endeligt at finde en fejl, og mine brystvorter stritter af begejstring, for jeg ved at der er totalt meget prestige blandt Ford-hadere i at kunne fremvise fejl. Jeg glæder mig så meget til at vise dem den fejl jeg har fundet.
Det viser sig at man meget simpelt kan omgå bremse-systemet ved at klippe den røde ledning i sikrings-modulet over. Bilen kan ikke bremse, men systemet i bilen opdager ikke at der er noget galt.
Men jeg fortæller det ikke til Ford.
Jeg poster det bare på en hjemmeside, så alle mine Ford-hader venner kan se hvor dygtig jeg er til at finde fejl hos dem vi hader. Og jeg giver nøjagtige instruktioner i hvordan man gør, så der ingen tvivl er om hvordan man kan fremprovokere den her fejl.
Godt nok er der nu en masse temmeligt fanatiske Ford-hadere der render rundt og klipper røde ledninger over - men det er jo ligemeget. For alle Ford-elskere forventes jo at besøge Ford-hader hjemmesiden, og de forventes også selv at trække i automekaniker-tøjet og selv regne ud hvordan de sikrer hele det elektriske system imod denne fejl,og de fanatiske Ford-hadere der render rundt med bide-tænger.
Og hvis jeg nu havde kontaktet Ford først, kunne der jo ske det at alle mine Ford-hader venner troede at jeg var blevet en ussel Ford-elsker, der sådan ligefrem samarbejder med "fjenden".

#30 - sKIDROw
18. okt. 2002 12:36

=>SaD

De fleste Admins bliver ansat til at arbejde selvstændigt, og for at kunne komme på løsninger selv ind i mellem.

#31 - Vipereus
18. okt. 2002 12:39

#28

Nu kan jeg jo godt lide metaforer..

Det er fint at man fortæller hvad fejlen består af..
Og hvilke symptomer der kan fremkomme..

"Hvis man tipper sædet på den rigtige måde og bruger en barnestol vil man - hvis man laver et 180 graders sving kunne kvæle barnet."

Men de skal sgu da ikke fortælle nøjagtig hvordan det skal gøres eller smide et link til en automatisk måde..

"du kører ud på køreteknisk anlæg og finder deres glatføre bane.. dernæst kører du med 60 km/t og drejer rettet i 10 grader og hiver håndbremsen.. osv. osv.. ps.. husk at tage naboens unge med"..

Man kan da fint fortælle admins om fejlen uden at fortælle dem at f.eks NetHack er et perfekt værktøj til at tvinge deres server i knæ... Det gør det bare nemmere for scriptkiddies at finde ud af det...

#32 - Hektor
18. okt. 2002 12:40

#29 SaD:
Jeg kan en der er bedre:

Jeg hader Mercedes, så da Mercedes lancerer deres nye A-klasse, tester jeg den og finder til min gru ud af, at den kæntrer ved en rekord-lav hastighed i den såkaldte "elg-test", hvor den generelle holdning er, at man skal kunne gennemføre den med ca. 50 km/t, mens A'eren tilter ved under 35 km/t.

Jeg har ingen anelse om, hvordan fanden A'eren kan laves bedre, for det er ikke mit ekspertiseområde, så i stedet for hænger jeg Mercedes ud for at lave en så usikker bil i forhåbning om, at Mercedes trækker bilen tilbage fra markedet, indtil de har sikret, at bilen ikke opfører sig som en fuld allike.

Lyder det bekendt? Det burde det, for Mercedes brugte ca. 2.000.000.000 kroner på helsidesannoncer på verdensplan til at tilbagekalde bilen fra markedet og for at gøre opmærksom på, at deres rettede udgave nu satte hastighedsrekord i selvsamme elg-test (denne gang en god hastighedsrekord). For ikke at nævne hvor mange penge de brugte på at forbedre deres bil.

Men det er måske noget andet?

#33 - Deternal
18. okt. 2002 12:48

det har jo intet med hadere at gøre - men ok CERT er nok MS hadere, derfor de bruger sådan et site som det i nyheden som kilde....

Og ja - eftersom CERT heller ikke har en løsning på problemet så er jeg sikker på at det er blevet testet - og jeg er også sikker på at det er blevet anmeldt til MS.

Men din "alle der siger noget negativt om MS er idioter" attitude holder alligevel ikke en meter.

Jeg vil dog gerne gå så langt som at medgive at linket videre til det der tool måske ikke var helt smart fra en vis vinkel - på den anden side er det jo meget smart at man som administrator ved hvad man er oppe imod.

#34 - SaD
18. okt. 2002 12:59

@ Deternal,

Du bliver ved..

Hvis de ikke selv kan finde en konstruktiv løsning (de er eksperterne, ikke sandt) - hvordan fanden i helvede skulle alle andre IIS server-admins verden over så kunne? Ifølge dig har de jo virkeligt prøvet hårdt på at finde en løsning i deres "test systemer". Bullshit.

Så er der tilsyneladende kun én part der kan løse det her problem - Microsoft. Og det bliver ikke nævnt med et kvæk hvorvidt de er blevet kontaktet.
At du tror at de er blevet det, giver jeg ikke en døjt for.

Men din "alle der siger noget negativt om MS er idioter" attitude holder alligevel ikke en meter. - Deternal

Som så meget andet, findes det der kun inde i dit hovede.

#35 - maxmotor
18. okt. 2002 13:17

Kør Apache...?

#36 - XorpiZ
18. okt. 2002 13:24

Ffs deternal

Du misforstår jo totalt SaD's indlæg

Men istedet for at indrømme det og komme videre, kører du videre i tomgang?

#37 - Peter Perlsø
18. okt. 2002 13:54

skdld.dk!

#38 - Gnuster
18. okt. 2002 14:08

Som SaD selv gjorde opmærksom på så er han ikke sikkerhedsspecialist og heller ikke programmør. Det er rigmeligt tydeligt at SaD har fået en idé om hvordan virkeligheden hænger sammen her og ikke vil lytte til fornuftige argumenter. Den omtalte post er rent faktisk yderst konstruktiv.

Jeg har lige været inde og sætte min linux box med firewall (der står foran en windåse) til ikke at lade request der indeholder shtml.dll komme igennem til webserveren. Problem solved. Det havde jeg ikke kunne gøre hvis ikke jeg havde set den her nyhed fra securiteam. SaD skal lige huske på at når de siger at de ikke har nogen løsning lige nu, så menes der at de ikke har nogen "universal" løsning lige nu som kan anvendes i alle setups på en simpel måde. Det er ikke ensbetydende med at diverse admins rundt omkring kan se på deres system og finde en måde at løse problemet på.

Jeg er enig i at der ikke var nogen grund til at nævne spike men det har ikke den store betydning. De folk der er smarte nok til at udnytte den her bug uden at blive fanget, kender alligevel programmet/skriver alligevel selv deres tools.

"At du tror at de er blevet det, giver jeg ikke en døjt for."
Prøv at se på sammenhængen den her nyhed indtræder i. Det er jo ikke securiteam der har fundet hullet, hvilket betyder at det her hul må være kendt i sikkerhedsmiljøerne siden de nu kender til det. Dermed kan du også være temmeligt sikker på at Microsoft kender til problemet, også før at den her nyhed blev posted.

Det eneste den her nyhed har ændret er at administratorne af iis webservere nu også kender til den her bug, og har en chance for at bekæmpe den. Om exploit reporten så er skrevet så "brugervenlig" at et par script kiddies får fat i den gør ikke den store forskel. Hvis administratorne på diverse "udsatte" sites ikke kan reagere hurtigere end diverse n00bs så kan de lige så godt give op på forhånd.

#XorpiZ: Nej det er dig der totalt misfortår hvad Eternal prøver at fortælle SaD så...

#39 - gEPHION
18. okt. 2002 14:17

#30 Skidrow

Yep :)

Brug et andet installationsdir end "c:Winnt" og fjern/rename de "standard dirs" som bliver installeret sammen med IIS, disable de lame sites der også bliver autoinstalleret.

Og så undgå at have "extensions" i din IIS som du alligevel ikke bruger.

Fjern "guest" accounten og rename din admin account.

Bare lidt konstruktiv info, istedetfor de evindelige kællingeskænderier ;)

#40 - Cougar
18. okt. 2002 14:23

Hvis IIS bliver konfigureret korrekt er dette ikke et problem og hvis man så heller ikke bruger Frontpage Extension, så vil denne bug overhovedet ikke være aktuelt.

#41 - Deternal
18. okt. 2002 14:35

#36: ehh ?!?

Hvad er det lige jeg ikke forstår?

#5 SaD: sviner nyheden.
#7 mig: forklarer hvad værdien i nyheden er.
#8 SaD: de har ikke en løsning på problemet, derfor skal det hemmeligholdes/de er lamers
#11 mig: derfor er det vigtigt/giver det mening at forklare og påvise exploits.
#14 SaD: lamer, du fatter intet - jeg stater lige "the obvious"
#16 mig: Gennemgang er løsningsmodel på sikkerhedsproblemer, yderligere gennemgang af logikken i at poste bugs og påvise exploits.
#21 SaD: idiot - du fortæller mig noget jeg ikke vil høre og jeg har ikke magtet at checke kilden selv - gentager lige hvad jeg har skrevet før og påviser at jeg *ikke* arbejder som administrator til daglig.
#22 mig: stater lige the obvious.
#28 mig: laver analogi med biler for at vise min pointe
#29 SaD: twister lige din analogi - det er jo anti/hader folk der er snak om her.
#33 mig: hadere - hvor?! Securiteam, Securityfocus og CERT er MS-hadere? Hvor vil du hen?
#34 SaD: du er en idiot - du ved ikke noget, bullshit.
#xx mig: opsummering af 'diskussionen'.

http://www.securiteam.com/windowsntfocus/6I00D205Q...

#42 - PaNiX
18. okt. 2002 16:09

Nu er jeg på ingen måde IIS ekspert (har aldrig brugt den), men jeg har arbejdet med en række andre webservere. Langt de fleste steder har man mulighed for at sætte permissions til filer (i Apache hedder den .htaccess), hvor man ganske enkelt forklarer serveren, at den fil ikke må hentes.

Kan man ikke det på IIS ?

#43 - SaD
18. okt. 2002 16:46

Nå, nu havde jeg lige skrevet et langt indlæg hvor jeg igen forsøgte at trænge igennem til Deternal - og nu også Gnuster.

Kort sagt - Deternal - din pubertære gennemgang af udviklingen af denne tråd, beviser ikke ret meget andet end at du stadigvæk ikke har fattet hvad jeg siger. Jeg starter med at kritiserer "nyheden", og du farer straks op som var det et personligt angreb på dig.
Og dermed angriber du mig. Og det finder jeg mig naturligvis ikke i. Og igennem tråden kommer du med flere og flere "jeg tror" og "jeg går ud fra" - og det er jeg bedøvende ligeglad med. Du ævler om "test systemer" og en masse andet der overhovedet ikke nævnes i den bug-melding - du ved det ikke. Og det kalder jeg bullshit.
Det ændrer ikke på det faktum at du postede en tumpet bug-melding der ikke leverer andet end 2 måder hvormed man kan angribe en IIS server. Ikke andet end:
Sådan her smadrer du IIS manuelt, og sådan her gør du med et program vi giver dig linket til.
Get over it.

Gnuster,
Gab...
Dine drengeværelses-teorier preller af på mig. Hvis du bare uden videre filtrerer requests fra til shtml.dll, tyder det på at du alligevel ikke bruger Frontpage Extensions til noget, så hvorfor afinstallerer du dem så ikke bare?
Skal du have hjælp?

#44 - Gnuster
18. okt. 2002 17:10

#43 SaD

Hvem er det der lyder barnelig i sit sprog? Jeg vil formode at der ikke kører frontpage extensions på windåsen, men jeg ved det ikke da den tilhører min fars firma (og serviceres af et it-firma, så den rører jeg ikke). Du har fuldt ret i at min løsning ikke er elegant eller det optimale, men det virker indtil der kommer en patch.

Som du selv sagde så er du en arkitekstuderende der tydeligvis er overbevist om at du har forstået alle aspekter af denne her sag. Du er ikke en position hvor informationer som det der findes i exploit beskrivelsen kan være til gavn for dig, og lige så lidt i en position hvor du har ansvaret for at sådan en exploit ikke bliver brugt til at skade dit firma. Det vil være synd at sige at du er kvalificeret til at afgøre om folk skulle havde haft de informationer, så jeg foreslår egentligt at du holder kæft og stopper med at svine folk til fordi de har en anden holdning end dig.

#45 - SaD
18. okt. 2002 19:35

@ Gnuster,
Hvem er det der lyder barnelig i sit sprog?
Ahh, et klassisk "det kan du selv være" forsvar - komplet med stavefejl og det hele.

Gæt på hvorvidt jeg orker at fortsætte dette ordkløveri?

#46 - legorøv
18. okt. 2002 20:13

#47 Hvad snakker du om?

#47 - OsteManden
18. okt. 2002 22:01

#46, det er vist mere personlige holdninger, end facts du poster der. De er lige så troværdige som et link til:
http://www.linuxsucks.org/read.html?postid=3585&am...

#48 - elvin
18. okt. 2002 22:07

#17 
Der er andre veje at gå end bare at slette/rename filer :)
Evt, ved brug af urlscan + sætte diverse parametre kan du sagtens fixe det problem

#49 - PeBo
18. okt. 2002 22:11

Uanset hvad, så vil jeg bare lige sige at I har reddet min fredag aften..
Hvor er i bare MAX underholdende..
Jeg kunne specielt godt lide bil-analogien..

#50 - legorøv
18. okt. 2002 22:14

Hvad blev der er Unix/PHP/Apache VS M$/IIS diskutionen?

Det er vel en opfordring efterhånden hvergang en eller anden poster noget med M$, og deres "server-system" (som bare aldrig kommer til at virke optimalt), at man skal svine dem til.

M$ = For folk der ikke ved bedre og ikke har tid til at rode med at få det op og køre eller har økonimien mere end iorden.

UNIX (Linux/BSD/m.m.)= For folk der vil have kvalitet og stabilitet men også bruge tid på at få det til at køre.

mboost-dp1

Nyheder

Seneste kommentarer i nyheder

Seneste kommentarer i forum

DoS hul i IIS