Kemarin saking gak ada kerjaannya, saya pengen nginstall vmware-player di laptop kantor. Tetapi karena privilege di laptop hanya dapat user biasa dengan privilege terbatas (a.k.a bukan admin) saya jadi tidak bisa nginstall aplikasi apapun. Yak bagus sekali…. Memang ini adalah mekanisme yang tepat untuk keamanan informasi di kantor. Sebaiknya user diberikan hak yang terbatas. Tetapi dasar anak yang agak mbandel, saya merasa sudah saatnya untuk dibobol hahaha. Teknik yang digunakan pada posting ini adalah local escalation privilege, yang berarti syaratnya adalah kita sudah logged-in ke dalam sistem (memiliki user yang terdaftar di sistem). Teknik hacking Windows yang digunakan berarti sudah jelas yaitu melakukan escalation privilege user saya yang punya hak terbatas. Tapi teknik hacking Windows DILUAR dari ini tentu masih banyaaaaaaaak.. misalnya: mengubah password admin kemudian takeover account admin, mengcrack password admin, melakukan remote hacking dari host lain untuk mendapatkan shell berprivilege administrator, dsb.
Berikut ini laporan hasil oprek-oprekan kecil saya:
Seperti bisa dilihat dari judul nya, tahun 2013 lalu ditemukan adanya vulnerability pada mekanisme kerja objek EPATHOBJ pada kernel system operasi Windows-family, yang pendek kata, pada akhirnya dapat memungkinkan seorang user memerintahkan ring-0 (kernel) untuk mengeksekusi arbitrary code. OS yang rentan terhadap vulnerability ini: Windows NT/2K/XP/2K3/Vista/2K8/7/8 (Hampir seluruh OS buatan Microsoft ya!). Kemudian Juni 2013 Tavis Ormandy membuat exploitnya dan di rilis ke publik, dikenal dengan sebutan: EPATHOBJ Local Ring-0 Exploit. Btw, karena sistem yang rentan terhadap vulnerability ini adalah hampir semua OS Windows, hal ini yang membuat saya tertarik mempostingkan oprek-oprekan ini ke blog.
Impact dari vulnerability pada kernel Windows-family ini memungkinkan seorang user untuk mendapatkan hak akses penuh (NT Authority System) pada mesin lokal. Beberapa kegiatan yang bisa dilakukan antara lain membuat user, mendaftarkan service, menginstall backdoor, dsb.
Vulnerability ini sudah memiliki exploit yang tersedia di publik. Bisa didapatkan disini. Pada link yang saya kasih ini exploit masih dalam bentuk source code bahasa C. Karena dalam source code itu menginclude beberapa header C khusus OS Windows, proses kompilasi gak bisa dilakukan dari kompiler GCC-nya linux yaaa.. harus pake Microsoft Visual C punya Microsoft. Tapi untuk pengunjung setia blog ini, di bagian bawah posting ini akan saya sertakan source code & compiled binary (.exe) nya. Jadi yang mau PoC sendiri di komputernya tinggal eksekusi aja, gak usah susah2 install Microsoft Visual Studio segala cuman untuk ngompile file penjahat ini hahaha.
Saya ceritakan sedikit jika exploitasi berhasil. Sebagai contoh di bawah, saya yang sudah dapat shell access dengan privilege tertinggi. Sebenarnya sampai sini blog ini boleh dibilang tamat. Lah kan udah dapat shell “sakti” nya. Selanjtunya terserah Anda hahaha. Tapi ya sudah saya contohkan untuk kasus saya ini, setelah dapat akses full, saya kemudian membuat user “itsecurity” dengan command:
> net user /add itsecurity paswot1234!
Setelah itu tak lupa membuat user “itsecurity” tersebut menjadi se-level Administrator dengan memasukkan si “itsecurity” ke local group Administrators:
> net localgroup Administrators itsecurity /add
Habis itu? Ya saya sudah punya akun sakti bernama “itsecurity”. Sekarang kita bisa melakukan apa saja di laptop ini. Kalau saya sih cuma mau install VMware Player dan beberapa aplikasi lain kok. Cuma itu ajah kok. Hihihih…
Screen capture selama PoC (Proof of Concept):
Untuk para pembaca yang ingin mencoba exploit ini dan maen eksekusi aja dan gak perhatikan pesan pembuatnya di source code exploit ini, saya tekankan sekali lagi bahwa probabilitas keberhasilan exploit ini termasuk menengah ke kecil a.k.a dibutuhkan kesabaran dan percobaan eksekusi berulang kali, tidak hanya 1-2 kali. Berikut ini statement Tavis Ormandy di source code nya, pada baris ke 434 s/d 436:
// You might need to run it several times before we get the allocation we need, // it won't crash if it doesn't work, so you can keep trying. I'm not sure how // to improve that.
Silakan download exploit nya disini.
Bentuk: 3 file. exploit.c, exploit.exe, dan README.
Terkompresi: ZIP
Nama File: epathobj-winkernel-exploit
Ukuran: 39.5 KB