Ongeoorloofde uitvoering van programma's of commando's

Share

|

Een dader kan exploiteren een kwetsbaarheid in een slachtoffer systeem dat de dader aan een of meer malafide commando's draaien op dat systeem mogelijk maakt. Een slimme dader kan dan doen bijna alles op de getroffen systeem. Een van de meest voorkomende manieren om oneerlijke opdrachten uitvoeren is het creëren van een buffer overflow conditie. Een buffer overflow conditie resultaten uit meer input wordt ontvangen dan er beschikbaar is geheugen, vaak veroorzaakt het teveel input om commando's in het geheugen die nog moeten worden uitgevoerd overschrijven. Niet alleen kunnen de bestaande commando's overschreven worden, indien correct gedaan, zal de aanvaller commando's worden geplaatst in de buffer, zodat ze daadwerkelijk worden uitgevoerd.

Een van de meest voorkomende methoden van de lopende opdrachten op ongeautoriseerde slachtoffer systemen is het benutten van de server Berkeley Internet Name Domain (BIND). BIND is de meest ingezet uitvoering van het Domain Name System (DNS). DNS is een internetdienst van essentieel belang in die zin dat de systemen in staat stelt met andere systemen eenvoudig te lokaliseren met behulp van hostnamen (bijvoorbeeld system.domain.co), het omzetten van elke hostnaam naar een IP-adres zoals 131.243.2.3 (of vice versa). Functies binnen bepaalde versies van BIND, met inbegrip van NXT, qinv, in.named, en anderen, hebben een aantal exploiteerbare fouten die kunnen leiden tot resultaten zoals een buffer overflow, wat resulteert in de mogelijkheid om opdrachten uit te voeren met root (superuser) privileges. Bijvoorbeeld, sommige versies van BIND niet correct valideren NXT records. Een aanvaller kan dus stuur je een enorme hoeveelheid input in deze registers om een buffer overflow veroorzaken en vervolgens uitvoeren van een malafide programma op hetzelfde niveau voorrecht dat de naam-server heeft.

Aanvallers die leiden BIND aanvallen zelden stoppen na de exploitatie van een of meer kwetsbaarheden. Zij hebben ook vaak ontlaadsysteem logs ter dekking van hun tracks en vervolgens (indien zij niet reeds hebben opgedaan root-toegang) downloaden en uitvoeren tools om een root-shell verkrijgen. Volgende zij lopen netwerk-scanning tools om andere systemen te vinden met dezelfde BIND kwetsbaarheden, en dan vallen deze systemen op dezelfde manier. De tol in termen van aantal machines gevaar binnen een korte periode van tijd is vaak erg hoog.

BIND aanvallen vormen een zeer ernstige risicofactor omdat de prevalentie van BIND op het internet. In feite een consensus inspanning om de uitgebuite kwetsbaarheden geïdentificeerd BIND-gebaseerde aanvallen, zoals het bepalen van de meest frequente (zie de volgende kader). Zowel Linux-en UNIX-systemen zijn kwetsbaar voor aanvallen BIND.

Niet-geverifieerde externe gebruikers zouden ook in staat zijn om malafide code op systemen die draaien ongepatchte versies van LPRng draaien. LPRng is een veel gebruikte software-pakket in FreeBSD UNIX en bepaalde versies van Linux, en het vervangt de Berkeley Standard Distribution (BSD) LPD-afdrukken dienst. Deze software heeft een format string kwetsbaarheid, een probleem veroorzaakt door ontbrekende format strings in functie oproepen. Format strings ervoor te zorgen dat de ontvangen input correct is verwerkt. Deze kwetsbaarheid kan de gebruiker geleverde argumenten te worden doorgegeven aan een gevoelige functie-aanroep.

---