четверг, 30 сентября 2010 г.

Содержимое блога за сентябрь 2010

Последняя запись сначала:

Отчет о первой уязвимости, найденной мной

Продолжение ностальгической серии про командную строку… (driverquery, fc, find)

Продолжение ностальгической серии про командную строку… (clip, color, comp)

Да, MS выпустила MS Chrome Winking smile

Начало серии про командную строку. Ностальгия начинается здесь Smile

MS CTA и скидки для сотрудников компаний-партнеров MS

Вирусы становятся 64хбитными. Осторожно!

Позвоните мне, если желаете: я на линии, если в онлайне

понедельник, 27 сентября 2010 г.

Уязвимость в инсталляторе VMWare Workstation. Теперь не 0-day.

Единственным поводом для данной статьи является… Хвастовство. Да, я собираюсь хвастать первой уязвимостью, обнаруженной и отрапортованной мной раньше, чем для нее был выпущен соответствующий CVE. Я и раньше, случалось, находил что-нибудь этакое, однако, обычно я тут же находил, что уязвимость давным-давно известна уже широким массам, так что находка была бесполезной Winking smile 

Данная уязвимость в инсталляторе VMWare Workstation and Player позволяла злоумышленнику запустить .htm файл с любым содержанием. Правда, этот файл должен был быть размещен в папке, из которой запускается инсталляция и проблема проявляется только когда вы инсталлируете продукт или обновляете его, но… Черт, это мой первенец (при том, что моя работа, в общем-то, далека от этого), будьте снисходительны Winking smile 

Вот как это выглядело в версии 7.1.2:

1) у нас есть файл index.htm и дистрибутив VMWare Workstation

image

2) мы начинаем инсталляцию, вводим свои учетные данные для повышения привилегий и, внезапно: 

image

Что за черт???!!! Собственно, это содержимое нашего злого файла. Разумеется, никто в здравом уме и трезвой памяти не нажмет линк в таком окне и с таким текстом (хотя… Впрочем, это совсем другая история…) Однако, если бы я смог нарисовать некое убедительное подобие инсталлятора или засунуть в файл исполняемый код, тогда все, что было бы отсюда запущено, запустилось бы с повышенными привилегиями.

Да, согласен, это очень узкий вектор атаки с малой вероятностью успеха, но все же я рад, что и он закрыт.

P.S. Конечно же, хвастовство не единственная причина написать такое сообщение. Это происшествие натолкнуло меня на пару тем для разговора, так что можете воспринимать эту статью как затравку. 

четверг, 23 сентября 2010 г.

Старая добрая командная строка #2…

Продолижм-с.
  • driverquery. Выводит список драйверов, установленных в системе и кучу данных про эти драйверы. Например, можно получить информацию по подписанным драйверам:
image
Вполне может пригодиться, на старте траблшутинга некоторых проблем, это всяко удобнее, чем лазить по менеджеру устройств. 
  • fc. Хм… Дежа вю какое-то… Whoa. Мы же что-то такое рассматривали уже… Не то ли это самое, что и “comp”? Ну, на самом деле не совсем. “Та” комманда сравнивает файлы побайтно, эта имеет несколько больше вариантов, например, сравнение посимвольно, в Unicode файлах, case-sensitive/insensitive, и так далее. По умолчанию команда всего лишь выводит список строк, которые разнятся в файлах:
image
Она должна еще и синхронизировать файлы уметь, но я не понял, как это сделать Winking smile 
  • find. Эта команда должна была оспорить первенство имени BING у настоящего BING: But It Is Not Grep. Однако, она все еще достаточно функциональна, чтобы быть полезной.
image
На сегодня все – продолжение следует… Winking smile

понедельник, 20 сентября 2010 г.

Старая добрая командная строка…

Знаете что? Когда я писал свое сообщение о команде cmdkey, то я понял, что большую часть команд, которые светятся рядом с cmdkey на TechNet я не знаю. Правда. Хотя я все еще помню, что такое “expand”, я не могу сказать, что такое “clip” или “comp”. Ну, на самом деле, не мог, потому что я произвел кое-какие ислледования и теперь расскажу Вам о тех командах, которые мне показались полезными или забавными. Конечно, некоторые из них давно не используются (break), а некоторые не могут быть использованы напрямую из скриптов или CLI (autochk, call), однако, кое-что может быть полезным в ежедневной работе системного администратора. Вот они (пвторюсь, здесь только те, которые мне интересны или кажутся забавными, так что я многое опустил, или включил то, что покажется многим ерундой):

  • clip. Иногда нам нужно всего лишь поместить результаты выполнения команды или программы в буфер обмена и вставить его после этого в e-mail, окно аськи или еще куда-нибудь. Просто скопировать его и забыть. Что мне обычно приходится делать: 
    image

Открыть файл file.txt в notepad:

image[30]

а потом скопировать его и вставить. После еще и удалить файл. Теперь я могу сделать так:

image

и получить в моем буфере обмена следующее:

I'm thinking
40% done...

Больше никаких создатьФайл-открытьФайл-выбратьВсеСодержимоеФайла-скопироватьВставить-закрытьФайл-удалитьФайл. Это все было слишком долго, утомительно и скучно, теперь это намного быстрее. 

  • color. Просто развлечения ради заставьте свою коммандную строку выглядеть как Norton Commander

image

и верните все назад

image

  • comp. Внезапно: весьма мощная команда. Сравнивает файлы побайтно. Например, если мы имеем два файла:

image

и

image

и запустим следующую команду:

comp file.txt file2.txt /a

то мы получим такой вот результат:

image

Ну разве это не прелесть полезно? =)

Продолжение следует…

среда, 15 сентября 2010 г.

IE 9 Beta starts

imageИтак, бета-версия здесь. Зайдите на http://www.beautyoftheweb.com/invite 15го сентября (по американскому времени Winking smile) (UPD: уже можно качать) чтобы получить больше информации о продукте, скачать его и попробовать. Короткий и не слишком полный список нововведений: 

- Поддержка HTML5

- Сксорость

- Улучшения в совместимости со стандартами HTML и CSS

- Ну и всякое такое. Развлекайтесь! =)

понедельник, 13 сентября 2010 г.

Утилиты: cmdkey

imageМы используем учетные данные для путешествия по интернету, доступа к разнообразным ресурсам в нашей корпоративной сети и даже домашняя сеть может требовать их ввода. Управление ими может быть простым или сложным, безопасным или нет, но многие просто считают их сохранение достаточно безопасным по сравнению с вводом их каждый раз. Еще одна ситуация, в которой учетные данные сохраняются является следствием ошибки. В любом случае, иногда нужно просто увидеть, какие данные мы сохранили или нам может понадобиться автоматизировать их добавление/удаление. В Windows 7 мы частично можем решить эти задачи с помощью Windows Vault:

Vault

однако, эта возможность недоступна нам ни в более старых ,ни в серверных ОС, а так же не предоставляет нам возможностей по автоматизации. И как раз тут нам на помощь приходит “утилита дня”: cmdkey. Чтение статьи по этому линку расскажет Вам все, что нужно о синтаксисе команду, так что я всего лишь покажу несколько примеров.

Вот так выглядит наше хранилище для “новорожденного” пользователя:

image

Давайте добавим учетные данные для пользователя user из домена domain2 для доступа к серверу server в домене domain2:

image

Теперь хранилище выглядит так:

image

Удалим данные, если они нам больше не нужны:

image

Утилита может быть полезна не только в случаях, о которых я писал выше, но и в некоторых, не слишком очевидно относящихся к учетным данным (пример здесь, вопрос о DFS path), так что рекомендую помнить о ней.

четверг, 9 сентября 2010 г.

Новости сертификации

Новости, просто новости:

  1. Стали доступны новые сертификации от MS: Technology Associate, предназначенные, в основном для студентов и людей, не имеющих опыта в IT. Подробнее о программе можно прочитать на ее сайте. Сейчас уже доступны некоторые экзамены для разработчиков и IT Pro. Так что если опыта мало, то это самый волшебный вариант начинать свою сертификацию.
  2. Новость вторая – опять про халяву. Ну… Относительно, конечно. MS дала возможность сотрудникам компаний-партнеров MS сдавать экзамены со скидкой до 30%, плюс предоставляется Second Shot для любого экзамена. Правда для этого надо закупать экзамены оптом, но, как знают оные сотрудники, их и сдавать зачастую надо оптом Winking smile Подробности тут.

понедельник, 6 сентября 2010 г.

x64 атакует, часть II

malwareКогда я писал о резком увеличении установленных 64битных версий новой ОС на клиентских компьютерах, я как-то не подумал об одном чуть ли не основополагающем законе природы: когда что-то становится по-настоящему массовым и популярным, этим чем-то сразу же пытаются воспользоваться те, кому без чужой собственности жизнь не мила. В нашем случае это означает, что все инструменты различных хакеров будут тут же приспособлены к новой реальности. К сожалению, это происходит вне зависимости от того, думаю  я о чем-то или нет (может быть, Вы подумали об этом? Тогда больше не делайте этого Winking smile). Ребята из MS сообщили, что мы получили 64битную версию руткита Alureon. На момент сообщения эта новая версия ломала загрузку XP и W2k3, а на более молодых системах приводила к отдельным неприятностям с дисками, однако, у меня нет никаких сомнений: плохие парни быстро исправят эти ошибки и сделают сей вредонос лучше (для них, конечно, не для нас). Это опять с некой степенью достоверности доказывает мне, что любая статистика об уязвимостях, вирусах и тому подобном должна быть как минимум нормализована по отношению к “клиентской базе”, иначе она просто врет.

четверг, 2 сентября 2010 г.

В ЛК внедрили UC

Совершенно на правах рекламы Winking smile  Мы это сделали. “Мы”, это, конечно, весьма условно: я там участвовал на совсем маленьком участке, но теперь у нас есть OCS и это удобно. Что по этому поводу думает наше всякое руководство, можно почитать тут. В общем-то, начальство не врет: это правда здорово и удобно. Мне не важно, где у меня есть интернет – я могу позвонить кому угодно. Реально я оценил это когда на время наших “больших дымов” уехал в Питер – поработать в нашем тамошнем офисе. В принципе, можно было, конечно, взять там аппарат и настроить его на свой номер… А можно было сесть в какой-нибудь ПирогоФФ и никто даже не замечал, что я не в офисе:
- Можно к тебе зайти?
- Можно, но ты не дойдешь – я в Питере.
В общем, мне очень понравилось. Есть, конечно, над чем работать еще, но уже очень удобно.
З.Ы. За названием “Умный Софт” скрывается некий Бари Муртазин, если кто не в курсе. В кои-то веки мы попили его крови, но результат, как я уже говорил, весьма и весьма.