Exploit para la vulnerabilidad del RPC DCOM en Win
NT/2k/XP/2k3

 Introducción



El 16 de Julio el grupo "The Last Stage of Delirium Research Group"
descubrió un fallo en el servicio RPC (Remote Procedure Call) que afecta a los:

Windows NT 4.0

Windows NT 4.0 TSE

Windows 2000 (SP0, SP1, SP2, SP3, SP4)

Windows XP (SP0, SP1)

Windows 2003 Server

mediante el cual, mandando un mensaje especialmente formado al servico RPC
service (puerto 135), un atacante remoto puede causar un buffer overflow y
ejecutar código arbitrario en el sistema remoto con permisos de
"System".

Esta es la web oficial: http://lsd-pl.net

En http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
puedes encontrar la información y los parches que ha publicado microsoft.

Como en otras ocasiones, poco a poco van apareciendo exploits y herramientas
para reproducir esta vulnerabilidad, en eeye
ya han sacado un scaner, puedes bajarlo de aquí
(aunque tendrás que registrarte primero).





El exploit



El grupo metasploit ha
sido el primero en publicar un exploit (para Win2k/XP) que abre una shell con
permisos de sistema en la máquina vulnerable. El exploit está hecho para las
disrtibuciones de Windows en inglés. Puedes bajarte el código fuente (para
windows) de aquí: http://www.metasploit.com/tools/dcom.c

También te puedes bajar el exploit compilado en la sección Download con el
nombre de "rpcdcom", para que funcione debes tener el
archivo cygwin1.dll, que te lo puedes bajar aquí.

Puedes encontrar otra compilación del mismo exploit con el nombre de DComExploit.exe,
y lo puedes bajar de aquí
para esta versión no necesitas el cygwin1.dll, pero no abre una shell automáticamente,
necesitas dejar el netcat a la escucha en el puerto 4444. Bájate el que
quieras.



Tienes una colección de exploits, utilidades y textos en:

http://cyruxnet.com.ar/rpcxploit2.htm



Demostración



Con el exploit ya compilado, su uso es muy sencillo, una vez que tenemos el PC
objetivo localizado, tenemos que saber que sistema operativo utiliza, para ello
hay muchas herramientas, para esta demostración vamos a utilizar una de las mas
populares, el "LANguard
Network Security Scanner", (aunque podriamos utilizar el scaner de eeye
mencionado antes).

Bien, abro el LANguard y escaneo mi PC objetivo con la opción "Gather
information", esto es lo que obtengo:

Vemos que es un Windows XP, y tal vez sea vulnerable,
para probarlo, vamos a probar directamente con el exploit.

Desde una ventana de comandos, ejecuto el exploit escribiendo:"rpcdcom.exe"
y esto es lo que obtengo:

Está claro, el uso del exploit es sencillo, sólo hay
que elegir un número entre 1 y 6 dependiendo del Service Pack que tenga
instalado el PC objetivo y a continuación la IP.

Pero tenemos un problema, no sabemos que service pack tiene instalado el
objetivo (si es que tiene alguno).

Bueno, no pasa nada, probaremos hasta dar con el adecuado. En este caso voy a
suponer que el PC objetivo no tiene cingún SP instalado, así que ejecuto:
"rpcdcom.exe 5 xxx.xxx.xxx.30",
y esto es lo que obtengo:

Oh!!!! pues ya está como ves tenemos una shell en el
sistema remoto, y con permisos de sistema, es decir, se puede hacer lo que se
quiera.



A partir de aquí un intruso puede hacerse con la máquina de la víctima,
creando nuevos usuarios con permisos administrativos, con el comando "net
user usuario password /add", o descargando
archivos (troyanos o administradores remotos) mediante el ftp y ejecutándolos
después. Incluso un antivirus sería inútil, porque basta con utilizar el
comando "net start"
para ver si hay alguno corriento y desactivarlo mediante el comando "net
stop nombre_del_antivirus".



Espero que haya quedado clara la extrema gravedad de esta vulnerabilidad, que,
como muchas otras anteriores, se vuelve muchísimo mas peligrosa después de la
publicación de exploits tan sencillos de utilizar como éste.

Por todo esto, no dudes en bajarte el parche necesario de:

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp