Archive for the Microsoft Category

Windows 7 / Server 2008R2 Remote Kernel Crash

Posted in Hacking malicious, Microsoft, Windows on novembre 12, 2009 by ravem

Laurent Gaffiè colpisce ancora… o meglio, Microsoft colpisce ancora e Laurent scopre le malefatte, dopo poco tempo dalla scoperta della vulnerabilita nel protocollo SMB2.
Il responsabile è di nuovo il protocollo SMB (1 e 2), che risulta vulnerabile niente meno che nei due ultimi sistemi operativi sfornati da Redmond ovvero Windows 7 e Windows Server 2008 R2.
La vulnerabilità non richiede l’esecuzione di codice in locale, ma può essere attivata (ad esempio) semplicemente visitando tramite Internet Explorer un server compromesso che invii pacchetti SMB alterati. Il tutto è in grado di mandare in crash la macchina vittima che dovrà essere riavviata per ritornare a funzionare.
Come fa notare Laurent questo sembra un bel colpo all’affidabilità del Trustworthy Computing Security Development Lifecycle (o SDL) ovvero del processo di test e analisi relativo al software potenzialmente esposto a rischi di sicurezza, tanto pubblicizzato da Microsoft in merito alle due piattaforme in questione.
PS: Al momento nessuna patch è disponibile..

Grave vulnerabilità nel protocollo SMB v2

Posted in Exploit, Hack, Hacking malicious, Microsoft, Windows on settembre 15, 2009 by ravem

Laurent Gaffié ha pubblicato nel suo blog la notizia di una grave falla nel protocollo SMBv2 implementato su Windows Vista e Windows Server 2008, con annesso proof of concept sotto forma di script python.

A causare problema è il driver srv2.sys che produce BSOD e riavvio quando il campo “Process Id High” nell’header della richiesta SMB contiene il carattere “&”, morendo con errore PAGE_FAULT_IN_NONPAGED_AREA.

Affinché l’attacco possa essere portato a termine con successo è sufficiente che la porta 445 sia accessibile sul bersaglio: non è necessaria alcuna forma di autenticazione.
L’ho provato su Vista e funziona a meraviglia.

Al momento la soluzione è disabilitare SMB v2.

http://www.microsoft.com/technet/security/advisory/975497.mspx
http://www.microsoft.com/technet/security/advisory/975497.mspx
http://blogs.technet.com/msrc/archive/2009/09/08/microsoft-security-advisory-975497-released.aspx

Microsoft, Linux, e la sicurezza nazionale: che si dice in giro per il mondo

Posted in GNU-Linux, Microsoft, Mondo on marzo 30, 2009 by ravem

Copio interamente quanto citato da Bruce Schneier nel suo blog, anche perchè è talmente bella che eliminarne una singola riga sarebbe un delitto :D
La notizia è che il governo Iraniano ha deciso di migrare la macchine governative a Linux.
Perchè?

“We would have to pay a lot of money,” said Sephery-Rad, noting that most of the government’s estimated one million PCs and the country’s total of six to eight million computers were being run almost exclusively on the Windows platform.
“Secondly, Microsoft software has a lot of backdoors and security weaknesses that are always being patched, so it is not secure. We are also under US sanctions. All this makes us think we need an alternative operating system.”
[…]
“Microsoft is a national security concern. Security in an operating system is an important issue, and when it is on a computer in the government it is of even greater importance,” said the official.

Sql server e servizi SNMP

Posted in Microsoft, Windows on febbraio 10, 2009 by ravem

Ieri ho installato i servizi SNMP su un Dell Poweredge 2850 con Windows 2003 server SP2 e SQL server, per implementare alcuni controlli automatizzati sullo stato della macchina.
Se dovete farlo anche voi prestate attenzione perchè ciò causa un arresto del servizio di SQL. Il grazioso messaggio che ho trovato nell’Event Viewer dice gentilmente: SQLServerAgent service successfully stopped.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp
e nulla più.

Altra vulnerabilità critica su Internet Explorer..

Posted in Microsoft, Sicurezza, Windows on dicembre 18, 2008 by ravem

Che novità eh!
Ecco qui il Microsoft Security Bulletin MS08-078 che avvisa della vulnerabilità critica che si estende da IE 5.1 all’8 beta praticamente sui ogni piattaforma e che permette l’esecuzione di codice remoto sul computer colpito.

Disinstallare completamente .NET

Posted in Microsoft, Windows on dicembre 2, 2008 by ravem

Se mai doveste eliminare completamenete .NET da una macchina ecco un tool scritto da Aaron Stebner che fa al caso vostro:

Lo si puo scaricare da qui.
via Ghacks

Archiviazione dei log di IIS con un file batch

Posted in Batch, Microsoft, Sicurezza, Windows on dicembre 2, 2008 by ravem

Bè, non sono certo un mago dei file batch, ma questo scriptino mi ha aiutato parecchio ad automatizzare l’archiviazione periodica dei log di IIS.
Io di solito lo lancio come operazione pianificata, e masterizzo il prodotto per archiviazione.

Lo script richiede robocopy per copiare i files e winrar per comprimerli, per usarlo basta copiare quanto sta qui sotto e configurare le parti mancanti a seconda delle vostre esigenze.
Ovviamente è possibile applicarlo a diversi tipi di log configurando semplicemente robocopy per prenderli in maniera corretta, e adattando i parametri usati per rinominare i file, oppure è possibile usarlo su diversi server semplicemente copiando tutte le parti quante volte serve e configurandole come conviene.
Ho inserito le varie spiegazioni nei commenti, non dovrebbe essere difficile capire di che si tratta.. almeno spero :D

@echo off

REM LOGIN-SUI-SERVER
REM Mi autentico sul server prima di iniziare

REM -------------------Login su Server1----------------------------
NET USE \\xxx.xxx.xxx.xxx password /user:administrator

REM COPIA-FILES
REM Copio i files dai server con robocopy (http://en.wikipedia.org/wiki/Robocopy)
REM attenzione all'opzione /MOV che elimina i files dalla sorgente dopo la copia
robocopy \\xxx.xxx.xxx.xxx\nome_della_condivisione\LogWeb\ c:\tmp\logweb\server1\ *.log /E /MOV /MINAGE:1 /LOG+:log.txt

REM RINOMINO I FILES E LI COMPRIMO
REM Vado nella directory dove ho copiato i files
cd c:\tmp\logweb\server1

REM Rinomino i files di log come NOMESITO_NOMEFILE
REM in modo da memorizzare nel nome sia il nome del sito
REM sia la data del file di log
REM (utilizzo /b/s per estrarre il path pulito dalle directory
REM e scelgo i token che mi interessano dal path)
REM riadatta questa linea a seconda del path che hai
REM per informazioni su "for /f" vedi http://www.computerhope.com/forhlp.htm#03
FOR /F "tokens=1-7 delims=\" %%B IN ('DIR /B /S *.log') do rename %%B\%%C\%%D\%%E\%%F\%%G\%%H %%F_%%H

REM Compatto con winrar singolarmente (winrar -a) i files di log
REM escludendo le informazioni sul path(-ep) e testo l'archivio creato (-t)
REM con -ibck eseguo in background il processo.
FOR /F "tokens=*" %%G IN ('DIR /B /S *.log') DO c:\programmi\winrar\winrar -ibck A -ep -t -m4 "%%~nG".rar "%%G"