Ked som ju ja mohol lahko zmazat, tak ju skodlivy softver zneuzije ako chce. Tento napad asi generovala nedonosena AI.
Překvapuje mě, že když už tu složku vyrobili i když je prázdná, že ji alespoň zároveň nenastavili příznak skrytá, a jen pokud by měla obsah, tak by byla viditelná.
Uz jenom to ze jim dali byl fail. Ocividne u toho moc nemysleli
Pokud by neexistence složky (adresáře) způsobila bezpečnostní problém, je to chyba v systému (resp. v IIS) jako vrata. IIS se standardně chová tak, že v případě neexistence složky zahlásí chybu a dál nepokračuje. Čili celý článek je nesmysl zabývající se tím, že někdo v Microsoftu nepřemýšlel (a vyrobil složku, která je k ničemu).
Muzes nam tedy prosim odborne technicky vysvetlit, jak funguje CVE-2025-21204 ? Evidentne tomu rozumis...
Tady to krásně popisují:https://cyberdom.blog/abusing-the-wi...025-21204/Jinými slovy, předřečník nemá pravdu. Složka zřejmě musí být vytvořena, protože vrata do stodoly jak kráva.Zřejmě to tedy funguje tak, že ta složka je systémová. A pokud neexistuje (není nainstalováno IIS), tak si jí útočník může vytvořit (jako symlink) a zneužít díru.Jedná se tedy o poměrně zajímavou zranitelnost s dost zajímavým řešením ve stylu: "Tak to je v řiti, to neopravíme, ale když vytvoříme adresář, tak to pak neadmin nebude moci zneužít".Zdar Max
Diky, ja vim, jak to funguje. Jenom mne zajimalo, jestli to vi nekdo, kdo napsal "a vyrobil složku, která je k ničemu" :)
Ten, kdo tu složku nechal vyrobit, věděl co dělá. Proto je v CVE napsáno, že je to "increase protection", ale není to řešení problému.
Pěkný odkaz. Děkuji, přečtu si. Podobné vysvětlení jsem podal. Podle mne ta složka není velkou překážkou, protože s elevovaným IL běží různé věci a neptají se na potvrzení (kvůli omezení obtěžování uživatele jako bylo ve W7).Proto je v CVE složka C:\inetpub uvedena jen jako increase protection, nikoliv jako solution.
Názor byl 1× upraven, naposled 22. 4. 2025 21:29
Složka C:\inetpub má zamezit tomu, aby někdo v tom adresáři vytvořil link (odkaz) na nějaký systémový soubor, k němuž normálně nemá přístup. Kvůli chybě v IIS se k němu pak dostane jako uživatel SYSTEM (tj. správce) a může dojít k elevaci oprávnění. Útok a následky nejsou veřejné, ale vytvoření této složky není ve zmíněném CVE uvedeno jako řešení, nýbrž jen jako "increase protection". Čili to klade překážku, ale nedostatečnou.Bez té složky si totiž i neprivilegovaný uživatel může tu složku C:\inetpub vytvořit a v ní udělat link kamkoliv, a pak donutit interní IIS, aby se na to místo podíval (EASY). Když ta složka tam je, tak skupina Administrators do ní může a útok se komplikuje tím, že při útoku potřebujete použít proces, který používá privilegovaný token (členové skupiny Administrators mají aktivní obyčejný token, jeho elevace se musí "odkliknout", viz IL, Integrity Level). Potíž je v tom, že některé věci se ve Windows by design odkliknout nemusí.Takže - moc jsem to nezkoumal, ale ze zběžného pohledu vyplývá, že ta složka C:\inetpub tam je jen proto, aby to vypadalo, že se "něco udělalo".
Skoro. C:\inetpub je tam proto, aby patrila systemu, tj. jeji prava byla pod kontrolou. Kdyby tam nebyla, mohl by nastat scenar, ktery popisujes. Neni tam tedy zbytecne. Take by se mi libilo, kdyby se nemusela vytvorit. Bohuzel, bezpecnostni problemy spojene s .lnk soubory jsou uz historicky dlouho a kvuli ruznym zpetnym kompatibilitam se nedaji dobre opravit, proto Microsoft dela tyhle zdanlive nelogicke "obezlicky" :(
Vysvětlil jsem to podstatně přesněji a navíc - ta složka je vytvořená tak, že běžný uživatel, který je správce počítače (tj. běžný domácí počítač) umožňují do složky zápis. Tato "ochrana" se navíc dá snadno obejít.
Vsak to take neni ochrana proti cilevedomemu uzivateli, ale proti automatizovanemu malware...
Automatizovaný malware využije elevace tokenu a u běžného uživatele, který je člen skupiny Administrators, do složky zapíše. Možná nebude muset ani řešit elevaci přes jiné cestičky, protože uživatel UAC stejně odklikne.Vytvoření služky C:\inetpub není ochrana a píše se to i v CVE.
Tak jsem se zasmál 😁😂🤣https://www.zive.cz/clanky/slozka-...fault.aspx
Hezke, pekne to zvrtali :)
Nechápu, proč to cpou do rootu, kdyby to zastrčili třeba do adresáře windows nebo Program data, tak si toho vůbec nikdo nevšimne
Protože historicky ISS používal adresář v rootu. Podobně jako se standardně používá Windows, Program Files, ProgramData, Users atd
Protoze kdyz krvacis z ruky, tak ti tlakovy obvaz na kotniku take nepomuze 😉
Jenze ono to nefunguje tak, jako kdyz Babica predstira vareni. Proto ten adresar holt nebude tam, kde by se Vam libil.
Chybí ještě upozornění, že nemáme v mrazu olizovat zábradlí.A stejně nechápu, k čemu je ta složka používaná ISS teda dobrá/nutná, pokud člověk nepoužívá ISS? Zní to jako nějaká zprasenina 🙂.
Nejspis nejaky kostlivec v kodu Windows, ktery zpusobi, ze pri pokusu o pristup do C:\inetpub dojde k chybe, ktera umozni ziskat vyssi prava v systemu. Coz MSFT vyresil tim, ze adresar existuje, tj. chyba nenastane...
Nikdy jsi neblokoval malware tim, ze jsi vytvoril zabezpeceny adresar / soubor stejneho jmena, jako soubor, do ktereho malware (nyni uz neuspesne) zapisoval? Je to docela bezny postup.MP
Není ISS jako IIS. První je mezinárodní vesmírná stanice (International Space Station) a druhé je webserver (Internet Information Services).
Nj, teď už to neupravím. Alespoň to mám všude stejně blbě 🙂
Jinak ISS toho dělá víc, třeba pořádá uklízecí mise ve firmách 🙂https://www.issworld.com/cs-cz
Pokud si dobre vzpominam, tak mj. uklizeji i letiste v BKK.
Ti jsou asi po celém světě, v bývalé práci byly uklízečky taky od nich. Ale podle webu toho dělají víc, to jsem ani nevěděl.
Ano, delaji kde co leckde. Zaber maji slusny jak oborove, tak i geograficky.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.