Les ordina13 sont des ordinateurs portables prété par le Conseil Général 13 aux éléves de 4iéme et de 3iéme. Il s'agit de Nec VERSA C200 sous Windows XP SP2 avec un Bios spéciale fait par Insyde Software et un MBR SafeBoot. Il y a de nombreuses applications installé comme StarOffice 7, VLC ou 7-zip.

Parmis ces application installé, il y en a une étrange qui tourne dans le compte SYSTEM: xcg13.exe tourne dans le compte SYSTEM

Cette application se trouve dans ''c:\windows\system32\O13\service'' et est effectivement un service: xcg13.exe est un service

Ces permissions sont mal configuré et permettent donc à tout les utilisateurs de modifier le fichier: acl du fichier

Mais le pire reste à venir ! Ce service ecoute sur le port tcp 6000 et accepte toute les connections. Les commandes sont command, recup, flingueadmin et quit. command execute dans le compte SYSTEM ce qu'on lui donne.

xcg13.exe ouvre notepad.exe en SYSTEM !

Joli, n'est-ce pas !

J'ai écris un petit programme qui se sert de ce backdoor pour ouvrir un shell SYSTEM en local. Il est attaché à ce billet.

Je peux fournir le binaire xcg13.exe sur demande. Cette faille fonctionne à distance et en local.

J'espere que personne ne va se faire un botnet d'ordina13 !