Tuesday, February 20, 2007

Snort DCE/RPC Vulnerability Thoughts

Yesterday Sourcefire posted a new advisory on a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DCE/RPC preprocessor introduced in Snort 2.6.1. The vulnerable exists in 2.6.1, 2.6.1.1, 2.6.1.2, and 2.7 beta 1.

A look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort/src/dynamic-preprocessors/dcerpc/ directory of Snort CVS shows dcerpc.c and smb_andx_decode.c were modified three days ago to patch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability. You can check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diffs for dcerpc.c and smb_andx_decode.c to see how Sourcefire addressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

This level of transparency is one of my favorite aspects of open source projects. If you are so inclined you can check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original vulnerability and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fix is proper.

There are probably a few dinosaurs out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who think this level of disclosure is too much, since it shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary exactly where to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. The truth is that several years of exceptionally effective reverse engineering of binary patches for closed, proprietary operating systems (and even creation of patches based on reverse engineering!) have demonstrated that hiding source code provides little to no secrecy. (Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code for your favorite operating systems is probably already stolen anyway.)

The question is, what happens now? The slide below is from my TCP/IP Weapons School (layers 4-7) class. It's original research (meaning I didn't copy it from elsewhere, not that it's particularly awe-inspiring) based on analyzing Microsoft protocols. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class we look at all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se protocols to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can be fragmented at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DCE/RPC and SMB layers. (For news on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next class in your area, visit my training schedule.) If you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slide you'll see DCE/RPC can appear in a variety of transports. This is worrisome given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability in Snort's DCE/RPC preprocessor. In 2005 in response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort Back Orifice vulnerability I wondered if we might see a Snort worm. I don't think that will happen this time since it didn't happen last time.

On a related note, I finished writing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fourth Snort Report today. I cover upgrading to Snort 2.6.1.3 (which fixes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability) and how to check out Snort 2.7.0 from CVS to run a patched version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2.7.0 beta.

3 comments:

Anonymous said...

That's a great chart, DCE/RPC with and without RPC can get really crazy.

You may have seen this before, if you are interested in generating some of those packets programmatically for your students, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is an open source Python library and a paper describing some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se features available
here

Gerardo Richarte and Alberto Soliño from Core did a bunch of work on analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se protocols.

It's cool to see a class that actually covers this area.

Richard Bejtlich said...

Hi Max,

I used your excellent ImPacket to generate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic for this chart -- thank you!

Anonymous said...

Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nice post!