Random IRC quote :      <fasdfa> que te kito la ketamina del tiron

Jugando con las colas (de mensajes) MS07-065 exploit

que pedo llevo encima. ¿miramos el exploit del mq? XDD

Y así se lió todo y mario y yo empezamos a mirar la vulnerabilidad MS07-065 reportada hace unos días por la gente de ZDI
porro

Tras un vistazo rápido con bindiff se confirmaba lo que el advisory indicaba, que una llamada a wcscat, en la funcion 0x06 de la interfaz rpc fdb3a030-065f-11d1-bb9b-00a024ea5525, provocaba un desbordamiento de buffer que podria permitir la ejecución de código.

wchar_t *__stdcall ReplaceDNSNameWithNetBiosName(wchar_t *a1,wchar_t *a2)
{
wchar_t *v3; // esi@1

v3 = _wcschr(a1, 92u);
_wcscpy(a2, g_szMachineName);
return _wcscat(a2, v3);
}

Mirando un poco mas en detalle, observamos que para que se llegue a esa funcion, se tiene que dar la condición de que la llamada a QMCreateObjectInternal() contenga un «.» en el nombre dns, es decir, que se especifique el fqdn del sistema.

A continuación el prototipo de la función:

long QMCreateObjectInternal(
/* [in] */ long parama,
/* [string][in] */ wchar_t *paramb,
/* [in] */ long paramc,
/* [in] */ long paramd,
/* [in] */ long parame,
/* [in] */ long paramf,
/* [in] */ long paramg);

La llamada vulnerable debería especificar como segundo parámetro el nombre de una cola con el siguiente formato: hostname.domain\AAAAAAAAAAAAAAAA
Una llamada con un string de mas de 139 bytes provocará un desbordamiento de buffer.

Explotar la vulnerabilidad es realmente sencillo, pero como siempre que hacen falta maquinas virtuales no estan donde se supone, únicamente hemos podido probar el exploit en un Windows 2000 advanced server en español.

Desde aqui queremos desear una feliz navidad a todos los administradores de sistemas. Sin su esfuerzo, nosotros no tendríamos trabajo xDDDD
Podeis descargar el exploit aqui

5 Comentarios para “Jugando con las colas (de mensajes) MS07-065 exploit”

  1. Comment por Tora | 12/22/07 at 12:38 pm

    Si ya lo decían por ahí: Enlarge your Queue!!

    Por la pinta que tiene el bug, no creo que esté solo… ¿XmlFormatter?, ¿mensajes vía HTTP? Quién sabe.

    Pues eso, felices fiestas a todos!

  2. Comment por ru-ben | 12/22/07 at 5:19 pm

    Sois unos criminales, sacando exploits para producir caos en el internel ¡¡ que vergüenza !! .

  3. Comment por ru-ben | 12/22/07 at 5:26 pm

    y la abuela ahí fumando droga… no puedo seguir leyendo este blos.

  4. ash
    Comment por ash | 12/23/07 at 2:30 pm

    Dios que daño ha hecho la retirada de la mili… nueve meses os hacía falta a todos vosotros para que os quitasen la tontería de encima!! Ya veriais que pronto os convertían en hombres de provecho… hippies! rojos! Pero donde vamos ha ir a parar?!

    A mi la legión! fede! Pedro J! Donde esta el enlace para escuchar la Cope en esta mierdawé?

  5. Comment por sha0 | 12/28/07 at 12:24 pm

    Muy xulo, quien lo habrá vendido a ZDI 😕

    salu2

Se han cerrado los comentarios