Archive for the Windows Category

Windows 7 / Server 2008R2 Remote Kernel Crash

Posted in Hacking malicious, Microsoft, Windows on novembre 12, 2009 by ravem

Laurent Gaffiè colpisce ancora… o meglio, Microsoft colpisce ancora e Laurent scopre le malefatte, dopo poco tempo dalla scoperta della vulnerabilita nel protocollo SMB2.
Il responsabile è di nuovo il protocollo SMB (1 e 2), che risulta vulnerabile niente meno che nei due ultimi sistemi operativi sfornati da Redmond ovvero Windows 7 e Windows Server 2008 R2.
La vulnerabilità non richiede l’esecuzione di codice in locale, ma può essere attivata (ad esempio) semplicemente visitando tramite Internet Explorer un server compromesso che invii pacchetti SMB alterati. Il tutto è in grado di mandare in crash la macchina vittima che dovrà essere riavviata per ritornare a funzionare.
Come fa notare Laurent questo sembra un bel colpo all’affidabilità del Trustworthy Computing Security Development Lifecycle (o SDL) ovvero del processo di test e analisi relativo al software potenzialmente esposto a rischi di sicurezza, tanto pubblicizzato da Microsoft in merito alle due piattaforme in questione.
PS: Al momento nessuna patch è disponibile..

Annunci

Grave vulnerabilità nel protocollo SMB v2

Posted in Exploit, Hack, Hacking malicious, Microsoft, Windows on settembre 15, 2009 by ravem

Laurent Gaffié ha pubblicato nel suo blog la notizia di una grave falla nel protocollo SMBv2 implementato su Windows Vista e Windows Server 2008, con annesso proof of concept sotto forma di script python.

A causare problema è il driver srv2.sys che produce BSOD e riavvio quando il campo “Process Id High” nell’header della richiesta SMB contiene il carattere “&”, morendo con errore PAGE_FAULT_IN_NONPAGED_AREA.

Affinché l’attacco possa essere portato a termine con successo è sufficiente che la porta 445 sia accessibile sul bersaglio: non è necessaria alcuna forma di autenticazione.
L’ho provato su Vista e funziona a meraviglia.

Al momento la soluzione è disabilitare SMB v2.

http://www.microsoft.com/technet/security/advisory/975497.mspx
http://www.microsoft.com/technet/security/advisory/975497.mspx
http://blogs.technet.com/msrc/archive/2009/09/08/microsoft-security-advisory-975497-released.aspx

Errore “Install_Msxml6_Cpu32_Action” durante l’installazione di Sql Server

Posted in Windows on settembre 2, 2009 by ravem

Durante l’installazione di MS Sql Server 2008 su una macchina con Windows server 2003 standard aggiornato, mi si è presentato questo errore:
Error: Action “Install_Msxml6_Cpu32_Action” failed during execution.

La causa è un bug nell’installazione di sql che va in conflitto con MSXML6 SP2 e che Microsoft con sagacia e intelligenza ha deciso di non correggere nonostante sia stato ampiamente segnalato su XPsp3 (correggetemi se ci sono novità).

La soluzione è
– rimuovere l’aggiornamento KB954459
– disinstallare eventuali rimasugli di SQL Server 2008.
– reboot
– installare finalmente SQL Server 2008.

Contare il numero di files in una directory remota e verificarne lo spazio occupato

Posted in Batch, Windows on aprile 3, 2009 by ravem

Questo script, incollato in un semplice batch, permette di contare i files in una cartella remota e verificarne lo spazio occupato in Mb.

Basta copiare quanto trovate qui sotto e configurare a seconda delle esigenze.
Have fun

@echo off
net use \\indirizzo_ip /user:administrator password
setlocal
set conta=0
call :PROCESS “\\macchina_remota\cartella”
:PROCESS
pushd “%~1”
for /f “tokens=*” %%a in (‘dir /b /ad 2^>NUL’) do call :PROCESS “%%a”
set cnt=0
for /f “tokens=*” %%a in (‘dir /b /a-d 2^>NUL’) do set /a cnt+=1
popd
if /i %cnt% EQU 0 goto :EOF
set /a conta+=cnt
goto :SIZE
:SIZE
for /f “tokens=3” %%a in (‘dir “\\macchina_remota\cartella” /-c ^| find “File”‘) do set /a sizeofdir=%%a/1024/1024
goto:END
:END
net use \\indirizzo_ip /delete
echo Sono presenti %conta% files per un totale di %sizeofdir% Mb

Visualizzare i permessi sulle cartelle in Windows 2003

Posted in Windows on febbraio 18, 2009 by ravem

L’utility showacls.exe presente nel Windows 2003 resource kit permette di visualizzare le autorizzazioni NTFS per file, cartelle e directory.

L’uso è molto semplice:
showacls.exe /S /U:(domain)\(user)
/S permette di esaminare anche le sottocartelle
/U permette di restringere il controllo ad un utente
E’ ovviamente possibile redirigere l’output su un file di testo.

Sql server e servizi SNMP

Posted in Microsoft, Windows on febbraio 10, 2009 by ravem

Ieri ho installato i servizi SNMP su un Dell Poweredge 2850 con Windows 2003 server SP2 e SQL server, per implementare alcuni controlli automatizzati sullo stato della macchina.
Se dovete farlo anche voi prestate attenzione perchè ciò causa un arresto del servizio di SQL. Il grazioso messaggio che ho trovato nell’Event Viewer dice gentilmente: SQLServerAgent service successfully stopped.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp
e nulla più.

Altra vulnerabilità critica su Internet Explorer..

Posted in Microsoft, Sicurezza, Windows on dicembre 18, 2008 by ravem

Che novità eh!
Ecco qui il Microsoft Security Bulletin MS08-078 che avvisa della vulnerabilità critica che si estende da IE 5.1 all’8 beta praticamente sui ogni piattaforma e che permette l’esecuzione di codice remoto sul computer colpito.