Computing power comparison: mainframe versus Intel Xeon

[Flash-04]

Соответсвенно, потенциально количество уязвимостей грубо пропорционально квадрату разнообразия софта в экосистеме. В МФ оно минимально. Опять имеем неуловимого Джо

ну да, здрасьте. если вспомнить теорию автоматов, то становится понятным что полностью протестировать любой "промышленный" софт не представляется возможным, т.к. кол-во состояний в нём выражается астрономическими цифрами. MF тут нисколько не исключение.

[zVlad]

Искупаться не удалось. Сильный ветер, волна и дождь.

[zVlad]

Del

[Dmitry67]

Искупаться не удалось. Сильный ветер, волна и дождь.

А я купался после НГ в Эйлате. Правда, вода была около 20. Купались только наши люди)

[zVlad]

Я искупался таки. Волны большие, недалеко от берега риф их разбивает и докатываются более меннее безопасные волны.

[Flash-04]

Лучше туда где их нет. Правда сейчас везде на Карибах мокрый сезон, волн больше чем в сухой.

[zVlad]

Искупаться не удалось. Сильный ветер, волна и дождь.

А я купался после НГ в Эйлате. Правда, вода была около 20. Купались только наши люди)

Вики пишет ниже 22 не бывает. Местные видимо уже на несколько поколений вперед накупались. Помню в июле ныряешь в Тургояк а вода обжигает. Вики умалчивает про температуру воды, но думаю 20 градусов там не бывает. В лучшем случае 18.

Вот нашел:

На основе наблюдений температуры воды за последние семь лет, самое теплое море в Тургояке в июле было 20 градусов, а самое холодное 14 градусов. Средняя температура воды в июле в Тургояке составляет 17 градусов.

[zVlad]

Владу на поржать:
....
а вот и PoC:
https://github.com/ayoul3/Privesc

та дам!

С учетом того что я фактически открыл самую сокровенную дверь в систему сам себе будучи системным администратором высшего уровня все работает как заявленно.

Я сомневался что срaботает механизм эскалации через управляющий блок. Сомневался, но теоритически сам себе не мог обьяснить почему бы это могло быть невозможно если фактически позволение писать программу в авторизованную библиотеку и ее выполнение с выполнением в ней стандартной, документированной функции, делает пользователя частью ядра. А раз ядра то все сделать можно и защиты от этого нет никакой.

Прием так сделаться ядром известен с годов эдак 70-х и документирован в пользовательской документации. Так что ничего особо нового эта "новая" находка не дает.

Итог: По требованию этого тестa защита была снята. Результат выполнения тестa: права эскалировались успешно. А вот как это сделать без снятия защиты? Никак.

Вопрос: Можно ли считать такую возможность дыркой? Я считают нет, не можно. Хотя осaдочек у меня нехороший остается. Признаюсь я сильно в этом не копался и полностью оценить угрозу не берусь. Полагаю что те кому положенно все это прекрасно знают и опасности тоже не видят. Кроме того я могу сказать что на этот грубый влом в систему на всякий случай можно было бы поставить сильный алерт и скорее всего даже не допустить исполнения эскалации, причем абсолютно без необходимости перелoпачивать горы данных. Однако, коль скоро с самого начала предполагается что злоумышленник может выполнить функцию перевода пользовательской программы в режим ядра, то и с этими алертами и запретами можно было бы тоже "разобраться" прежде чем
алерт сработает.

В общем и целом прекрасный материал для более глубогого, я бы даже сказал философсовского, осмысления. Я еще буду добавлять свои мысли об этом, но прям сейчас хотел бы сказать что создание возможности и описание как этим воспользоваться говорит об уверенности в надежности защиты которая все это может легко остановить и о том что других путей достичь такой вольности больше нет. В других системах убедиться в этом не так и просто.

[zVlad]

Эксперементирую с программой "влома в z/OS", в вариантах "обычного" выполнения

Попытка выполнить ключевую последовательность команд по эскалации прав изменением управляющего блока, без предварительного перевода в режим супервизора, но из авторизованной библиотеки:

Code: Select all

L 5,X'224'           POINTER TO ASCB
L 5,X'6C'(5)         POINTER TO ASXB
L 5,X'C8'(5)         POINTER TO ACEE
NI X'26'(5),X'00'
OI X'26'(5),X'B1'    SPE + OPER + AUDITOR ATTR

... вызвала abend на команде "NI X'26'(5),X'00'" (очистить поле блока в которое следущей командой предполагается записать права) с кодом 0C4-04:

0C4
One of the following exceptions occurred:

4
Protection exception. The key of the storage area that the running program tries to access is different from that of the running program. The key of the running program can be obtained from the PSW key field. ....

Попытка выполнить переход в режим супервизора (SVC 107) не из APF-authorized (неавторизованной) библиотеки (максимум что мог бы сделать простой программист самостоятельно) привела к abend с кодом 047:

047


Explanation: An unauthorized program issued a restricted Supervisor Call (SVC) instruction:

А вот как выглядит диагностика этого в системном протоколе:

Code: Select all

12.35.46 JOB13743  IEA995I SYMPTOM DUMP OUTPUT  713
   713             SYSTEM COMPLETION CODE=047
   713              TIME=12.35.46  SEQ=65509  CPU=0000  ASID=007A
   713              PSW AT TIME OF ERROR  078D0000   80007F8E  ILC 2  INTC 6B
   713                ACTIVE LOAD MODULE           ADDRESS=00007F70  OFFSET=0000001E
   713                NAME=ELFAPF1
   713                DATA AT PSW  00007F88 - 58101000  0A6B5850  02245855

Где в строке: "DATA AT PSW 00007F88 - 58101000 0A6B5850 02245855" 0A - код команды SVC (Supervizor Call), a '6B' или 107 это как раз код той SVC что будучи вызванной из авторизованной программы переводит ее в состояние супервизора.

Последнее показывает как можно легко проверить программу, которую предлагают авторизовать для чего-нибудь безобидного, на попытку перейти в состояние супервизор. T.e. запустим программу из неавторизованной библиотеки и увидим на чем она будет абендится. Если же это действительно нужно (переходить в режим супервизора)то проверяем текст программы на предмет той последовательности команд что я приводил выше для эскалации прав. Возможны конечно другие варианты достичь того же самого, но их немного в них всегда можно разобраться и понять что делается.

[zVlad]

Вот описание полей управляющего блока ACEE (Accessor Environment Element), которые изменяются для эскалации (все это из открытого интернета):

Code: Select all

  38  	  (26)  	 BITSTRING   	   1  	  ACEEFLG1             	 User flags                          
  	  	  1... ....  	  	   ACEESPEC            	 1 - Special attribute               
        	  .1.. ....        	   ACEEADSP               1 - Automatic data security protection                          
  	  	  ..1. ....  	  	   ACEEOPER            	 1 - Operations attribute            
  	  	  ...1 ....  	  	   ACEEAUDT            	 1 - Auditor attribute               
 
........      
  39  	  (27)  	 BITSTRING   	   1  	  ACEEFLG2             	 Default universal access            
  	  	  1... ....  	  	   ACEEALTR            	 1 - Alter authority to resource     
  	  	  .1.. ....  	  	   ACEECNTL            	 1 - Control authority to resource   
  	  	  ..1. ....  	  	   ACEEUPDT            	 1 - Update authority to resource    
  	  	  ...1 ....  	  	   ACEEREAD            	 1 - Read authority to resource      

Выше приведенная команда "OI X'26'(5),X'B1' SPE + OPER + AUDITOR ATTR" как раз устанавливает нужные биты в байте со смещением X'26'

[Flash-04]

То есть хочешь сказать что в принципе тож де самое как в Intel попытаться исполнить привелигированную инструкцию с урезанным пользователем? Если я правильно понял презентацию, упор делался на существование пользователей с избыточными привелегиями, которые им не нужны.

[zVlad]

То есть хочешь сказать что в принципе тож де самое как в Intel попытаться исполнить привелигированную инструкцию с урезанным пользователем? Если я правильно понял презентацию, упор делался на существование пользователей с избыточными привелегиями, которые им не нужны.

Избыточность привилегий состояло в том что у них есть права на модифицирование авторизованных библиотек. С какой, подумай, стати лица ответственные за безопасность стали бы допускать наличие таких привилегий безконтрольно и избыточно? Тем более что проконтролировать круг доступа к этим библиотекам не просто, а очень просто, а чтобы дать такой доступ надо иметь определенный уровень полномочий, котороые как правило даются очень узкому кругу лиц даже в огромных организациях. У нас этим занимаюсь только я и лишь по глупости может этим заниматься team lead.

Я дал многословные обяснения, но я не питаю иллюзий что даже ты до конца понимаешь абсурдность показанных "дыр". Еще раз призываю тебя вдуматься в то что ничего нового это "исследование" не показывает. Все это хорошо известные механизмы и приемы, да, дающие тот результат что был заявлен, но не отвечающие на вопрос как обойти защиту доступа к этим механизмам. Это все равно что дать зашифрованный текст и ключ к нему.

[zVlad]

Удивительная апатия со приветовских любителей поговорить о мэйнфрэйм. Казалось бы есть хорошо проиллюстрированный материал, есть специалист, который мог бы ответить на все неясности. Сама ситуация проста как умывальник.
И никаких мнений, вопросов, ничего. Тишина.
У меня есть только одно объяснение и оно не понравится тем кто настойчиво преследовал меня многие годы пытаясь дескредитировать неприходящую значимость и мощь технологий zSystem, недооценку их возможностей "широкой ИТ общественностью".
В жизни, при личном общении, я в таких ситуациях за словом в карман не полез бы. Но учитывая специфику заочного общения промолчу.
Более того сегодня я намерен дать дополнительную информацию о возможности оперативной реакции на попытки использовать мифическую дыру "открытую" в материале найденном уважаемом Flash-04. Иными словами, а что если секьюрити пирл z/OS окажутся лохами и оставят возможность простым программистам TSO (это касается только контингента программистов TSO) помещать свои программы в авторизованную библиотеку. Я попробую показать как можно было бы и можно ли вообще поставить "сторожа" на такую ситуацию. У меня есть предположения, но я должен убедиться сам в этом. А вообще вчера я ждал от вас, дорогие коллеги, что вы зададите мне этот вопрос, сделаете такое предложения. Но вы молчите, я знаю почему, но тоже промолчу, пока - вдруг у меня не получится ничего.

[Dmitry67]

Удивительная апатия со приветовских любителей поговорить о мэйнфрэйм.

Ну так в общем ситуация ничем не отличается от Intel
Напрямую попытка взломать ядро приводит к exception
Взлом обычно идет в рамках операционной системы в "широком смысле" - множество процессов, пользователей, и запутанность
Мир МФ тут ничем в принципе не отличается от Intel, за исключением спартанского пейзажа и надписи "Слава КПСС" на фасаде.

[Flash-04]

Я дал многословные обяснения, но я не питаю иллюзий что даже ты до конца понимаешь абсурдность показанных "дыр". Еще раз призываю тебя вдуматься в то что ничего нового это "исследование" не показывает. Все это хорошо известные механизмы и приемы, да, дающие тот результат что был заявлен, но не отвечающие на вопрос как обойти защиту доступа к этим механизмам. Это все равно что дать зашифрованный текст и ключ к нему.

Влад, я видел много ситуаций из серии "не может быть", потому и не делаю поспешных выводов