Re: [EN] LovSAN DDoS against Microsoft
 

Naja, wenn er richtig gut gewesen wäre dann hätte man ihn auch nicht so leicht entdeckt, so einfach. Die Experten meinen das er doch recht simpel ist. Davon abgesehen bingt sowas nicht viel nur um auf Sicherheitslücken aufmerksam zu machen. Ich will jetzt hier nicht über politische Systeme diskutieren und schon garnicht ob Monopole wie MS gut oder schlecht sind. Aber eines steht fest, das Internet ist eine Sozialpolitische Einrichtung für alle Menschen, und solche Viren stören den "friedlichen Verkehr". Nicht das ich meine das Spammer besser wären.

Gruß Hagen

hmm,
 

da hast du natürlich in allen Punkten recht. Sie haben aber leider wenig mit dem Thema zutun ! Alles was Arbeti macht die Sinnlos ist ist unnötig, das ist normal.

Re: [EN] LovSAN DDoS against Microsoft
 

Hi,

jetzt mal ne technische Frage an die "Experten" hier :)
Ich hab keine Ahnung welchen Exploit der Wurm nutzt nur wär es nicht sinnvoll gewesen erst zu checken welches OS läuft bevor ich versuche nen laufenden Process mitna falschen einsprung Adresse zupatchen? Immerhin war ja das das Problem was den Wurm verraten hat. Er hat versucht Win XP Pro mit den einsprung Adressen von Win2k zupatchen!! Oder überschreibt der Wurm den Puffer von ausserhalb, sprich vom I-Net aus?

Re: [EN] LovSAN DDoS against Microsoft
 

Korrekt, er schiebt zu viele Bytes rüber, was durch einen Fehler in DCOM den Buffer Overflow bewirkt. D.h. um ein nicht-infiziertes System zu infizieren muß ja das nicht infizierte System veranlasst werden den MSBlast zu downloaded und auszuführen. Der Bufferoverflow lösst einen Fehler im DCOM aus der wiederum dann dazu führt das das Windows Operation System selbständig MSBlast.exe aus dem WEB downloaded und diese EXE unaufgefordert ausführt. Dazu wird der Microsoft Trivial File Transport Protokol Client TFTP.exe benutzt. Wie man sieht das eigentliche Problem ist das OS, das solche Reaktionen zeigt. Böse gesagt, in China furzt einer und bei 100.000 Windows-User weltweit wird durch einen Schalldruckfehler im OS die Festplatte formatiert.
Damit sowas überhaupt möglich ist, muß die fehlerhafte Software unter dem System Benutzerkonto laufen, denn nur dieses hat mehr Rechte als der Administrator selber. Alleine dies ist schon ein Problem aus meiner Sicht, denn ICH und ICH alleine habe zu sagen was MEINE Software auf MEINEM Rechner zu tun und zu unterlassen hat. Aber das IST mit Windows NICHT möglich. Wenn ich also nicht will das irgendwas im OS ohne meine Kenntnis ins Netz geht dann muß das das OS absolut befolgen und verhindern.

Gruß Hagen

Re: [EN] LovSAN DDoS against Microsoft
 

Hallo. Ich muss gestehen, ich kenne mich mit diesen "Rechte Geschichten" nicht so gut aus, deshalb mag meine Frage etwas naiv klingen: Es gibt da doch diesen "Trick" bei WinXP Home, dass man im Abgesicherten Modus hochfährt und sich dann mit dem "Administrator" Konto anmeldet. Hat man denn noch nicht mal dann alle Rechte auf dem PC?? :shock:

Danke schon mal,

Man liest sich, Stanlay :hi:

Re: [EN] LovSAN DDoS against Microsoft
 

nein, System ist immer privelegierter.

Gruß Hagen

Re: [EN] LovSAN DDoS against Microsoft
 

SYSTEM "hat" auch nicht alle Rechte, wie Hagen sagte, sondern hat "per default" mehr Rechte aktiviert. Der Administrator hat "per default" weniger Rechte aktiviert, kann sie sich aber selbst geben.

Die meisten der Rechte (zB Zusammenbasteln von Primary-Tokens) brauchst du aber auch nie direkt. Und solange der Admin sich nicht selbst zur TCB zählt, sollte er auch das entsprechende Recht nicht an sich selbst vergeben ;)

@Bungee: Es gibt keine vernünftige Methode mit so kleinem Code auch die OS-Version MIT SP-Level rauszubekommen. Deswegen hat das Würmchen manchmal den falschen Code injeziert und es kommt manchml zum Absturz (habe davon auf XP gehört ... hingegen auf 2000 noch nicht)

@Hagen: *Heul* das stimmt doch nicht!!!! ... System immer privilegierter ... tss tss

Re: [EN] LovSAN DDoS against Microsoft
 

Was ich nicht ganz verstehe: wie funnktioniert das eigentlich mit den Buffer Overflows? Oder besser gesagt: Wie und warum wird dieser Code dann ausgeführt?

Re: [EN] LovSAN DDoS against Microsoft
 

Tja, ich wollte nicht auf die Feinheiten eingehen. Es ist aber so daß System als Process die Privilegierung des höchsten Users hat. Bei MSBlast hat der System Process durch den Fehler per TFTP.exe MSBlast.exe gedownloaded. Sogesehen ist es ein Unterschied ob man "System" als Konto betrachtet oder als "System" Prozess. Normalerweise kann man das "System" Konto beschränken, aber dann hagelts von Fehlern durch Programme die dieses Konto mit hoher Privilegierung benötigen. Ich hatte mal bei mir zum Spaß System stark eingeschränkt. Nach einem Neustart war das komplette Win2k vollkommen blockiert und ließ sich nicht mehr reparieren. Es half nur eine Neuinstallation. Aber, so doof muß man erst mal sein. Normalerweise ändert man diese Rechte als DAU nie, und das ist ein Problem der Vorkonfiguration durch Windows.

Gruß Hagen

Re: [EN] LovSAN DDoS against Microsoft
 

Hagen, nochmal! SYSTEM hat per default die höchsten Privilegien. Aber ein Reboot reicht und ich habe als Admin genauso viele Privilegien!

Verwechsele hier bitte nicht Kernelmode und Usermode! Services und Programme von denen wir reden laufen im Usermode. Da kann jeder alles, insofern er erstmal bestimmte Rechte hat. Denn hat er die, kann er sich weitere verschaffen!