На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Блокирование атак посредника

 


Бюллетень

Нет

 

BID

Нет

Исправлено в SP

Нет

 

Фиксируется

Нет

Наиболее очевидной мерой против использования SMBRelay является настройка систем се­мейства Windows NT на использование цифровой подписи SMB. которую мы назвали взаимо­действием типа "клиент—сервер" с цифровой подписью. Подписи SMB были представлены В версии Windows NT 4 Service Pack 3 и описаны в статье базы знаний Q161372.
Как следует из названия, при использовании цифровой подписи во время взаимодействия ме­жду клиентом и сервером Windows 2000 каждый блок данных SMB будет снабжаться криптографи­ческой подписью. Эту подпись может проверять клиент или сервер для проверки целостности и ау­тентификации блока данных, что делает теоретически невозможной подмену сервера SMB (по меньшей мере, очень маловероятной, в зависимости от используемого алгоритма подписи). На­стройки по умолчанию политик безопасности для SMB-сеансов в системах Windows Server 2003 представлены в табл. 5.2. Эти параметры можно найти открыв Security Policy (Попитика безо­пасности)^ Local Policies (Локальные политики)'*Security Settings (Параметры безопасно­сти). Таким образом, если сервер поддерживает цифровые подписи SMB, операционная система Windows Server 2003 будет их использовать. Для принудительного использования цифровых подпи­сей (SMB Signing) активируйте параметры, содержащие строку Always (Всегда).
Таблица 5.2. Параметры по умолчании idows Server 2003
исейЗМ
Параметры политики безопасности
Значение по умолчанию
Microsoft network client: Digitally sign communications (always) (Клиент сети Microsoft; «с- Disabled (Отключен) пользовать цифровую подпись (всегда))
Microsoft network client: Digitally sign communications (if server agrees) (Клиент сети Mi-    Enabled (Включен) DfOSSft использовать цифровую подпись (после разрешения сервера))
Параметры политики безопасности
Значение по умолчанию
Microsoft network client: Send unencrypted password to third-party SMB servers (Клиент Disabled (Отключен) сети Microsoft: посылать незашифрованный пароль сторонним SMB-серверам)
Microsoft network server: Amount of idle time required before suspending session (Сервер   15 min [15 мин) сети Microsoft: длительность простоя перед отключением сеанса)
Microsoft network server: Digitally sign communications (always) [Сервер сети Microsoft: Disabled использовать цифровую подпись (всегда)]
Microsoft network server: Digitally sign communications (if client agrees) (Сервер сети Mi- Disabled [Отключен) CfOEoft1. ммпьаовать цифровую подпись (с оолита» клиента))
Microsoft network server: Disconnect clients wnen logon hours expire (Сервер сети Micro-   Enabled (Включен) soft: отключать клиентов по истечении разрешенных часов входа)
ВНИМАНИЕ
Использование цифровых подписей повышает нагрузку в сети и может быть причиной проблем с установлением соединений с системами Windows NT 4.
Поскольку атаки посредника с помощью программы SMBRelay приводят к созданию нормальных соединений, в системных журналах не появляется никаких необычных записей. В системе атакуемого клиента возникают проблемы при подключении к ложному серверу SMBRelay, в том числе выдастся системная ошибка 59, "An unexpected network error occurred". С сервером SMBRelay в действительности соединение будет успешно установлено, но он отключит клиента и сам захватит соединение с настоящим сервером.
Использование служб, характерных для Windows

■ ■
Windows-службы были рассмотрены в главе 3, "Предварительный сбор данных и сканирова­ние" (табл. 3.2). Под характерными для Windows службами мы подразумеваем любой доступный удаленно демон или приложение, которое является реализацией Microsoft стандартного прото­кола (например Kerberos). В этом разделе мы рассмотрим программы атаки на эти службы.
НА ЗАМЕТИ У
Службы IIS, SOL Server и Terminal Server будут отдельно рассмотрены в гла­вах 10, "Хакинг сервера IIS", 11, "Хакинг сервера SOL", и 12, "Хакинг програм­мы Terminal Server", соответственно, по причине их особой популярности сре­ди хакеров.
Вторым ключевым моментом этого раздела является использование уязвимых мест дан­ных служб. Хотя в этой главе мы уже рассмотрели подбор паролей, перехват аутентификаци-онных данных и другие методы атак на эти службы, теперь мы сконцентрируемся на вредо­носном использовании известных недостатков в программном коде служб. Другими словами, этот раздел посвящен использованию готовых программ атаки на стандартные службы Windows.

Переполнение буфера служб удаленного доступа .ф ("червь" Blaster)


Популярность

10

 

Простота

10

 

Опасность

10

Степень риска

10

 

Как и для его предшественника, SQL Slammer (см. главу 11, "Хакинг сервера SQL"), пер­вые сведения о "черве" Blaster появились в информационном бюллетене Microsoft. Этот "червь" использует уязвимое место протокола, который никогда не привлекал особого вни­мания, но тем не менее широко использовался по всему миру: Microsoft Remote Procedure Call (MSRPC) Endpoint Mapper. Уязвимое место этого протокола доступно через TCP/UDP-порты 135, 139, 445 и 593 (а также посредством HTTP при установленных службах Com Internet Services в системах Windows 2000).
На самом деле уязвимое место присутствует в низкоуровневом интерфейсе DCOM (Distributed Component Object Mode! — распределенная модель компонентных объектов) для обработки процесса RPC (Remote Procedure Call — удаленный вызов процедуры). Успешное использование этого недостатка приводит к получению хакером прав, эквивалентных правам администратора в локальной системе (наихудшая форма удаленной компрометации).
В начале августа 2003 года, вскоре после появления бюллетеня Microsoft, в котором был описан данный недостаток протокола, несколько исследовательских групп создали экспери­ментальные программы, доказывающие возможность использования этого уязвимого места. Не пришлось долго ждать и появления автоматически распространяемого "червя", который заразил более 400 тыс. компьютеров. По сути, это тот же "червь" LOVESAN, но он стал более известен как Blaster. Подробности действий этого червя и то, какую нагрузку он добавляет в сеть, можно узнать на любом сайте серьезных поставщиков антивирусного программного обеспечения. Важно то, что все зараженные компьютеры были использованы для запуска распределенной атаки отказа в обслуживании (DDoS, см. главу 15, "Атаки отказа в обслужи­вании") на домен windowsupdate. com, которая началась 16 августа 2003 года и продолжа­лась вплоть до декабря. Такая явная атака и в таких масштабах является беспрецедентной, но, к счастью, домен windowsupdate. com больше не используется компанией Microsoft, кото­рая просто удалила DNS-записи для этого домена и снизила опасность атаки. Интересно, как в будущем сообщество Internet будет реагировать на появление усовершенствованных червей.
Параллельно со стремительным распространением червя Blaster в Internet присутствовали несколько других средств, использующих проблему MSRPC. Одной ИЗ наиболее опасных программ является kaht2, которая позволяет просканировать заданный пользователем диа­пазон IP-адресов с целью выявить хосты, на которых доступна уязвимая служба MSRPC. Зло­умышленнику предоставляется доступ к командному интерпретатору каждой обнаруженной уязвимой системы. Ниже представлен отчет о сканировании с помощью программы kaht2 сети класса С (8).
Листинг 5.8. Использование программы kaht2
КАНТ II  - MASSIVE RPC EXPLOIT DCOM RPC exploit. Modified by aT4r@3wdesign.es (thaxorcitos S.S ttlocalliost SEfnet Ownz you! ! ! PUBLIC VERSION :P
[+J  Targets:   192.168.234.1-192.168.234.254 with 50 Threads [+] Attacking Port:  135. Remote Shell at port: 37156 [+] Scan In Progress...
- Connecting to 192.168.234.4 Sending Exploit to a [WinXPl Server...
- Conectando con la Shell Remota...
■   1 1УВЦГ--
Microsoft Windows XP [Version 5.1.2600] © Copyright 1985-2001 Microsoft Corp.
С:\WINHT\systегаЗ2> С: \WISTNT\systems2>whoami whoami nt authorityAsystem
Как видно из приведенного выше отчета, программа kaht2 обнаружила уязвимый компь­ютер под управлением Windows ХР и отправила код атаки на порт 135. В результате хакер по­лучил доступ к командному интерпретатору, запущенному от имени LocalSystem. Отлично!
НА ЗАМЕТКУ
Используя kaht2, мы получили довольно интересные результаты. Иногда эта программа не в состоянии найти открытые порты (на одной из атакуемых сис­тем Windows Server 2003), и тогда она завершает работу PRC-спужбы, а сис­тема сама завершает работу в течение 20 с.
К сожалению, уязвимое место в интерфейсе MSRPC оказалось не единственным. Компа­ния Microsoft 10 сентября 2003 года проинформировала общественность об обнаружении второго уязвимого места в том же коде интерфейса MSRPC/DCOM. Эта ошибка не менее серьезна и может привести к таким же последствиям, что и первая. Хотя большинство орга­низаций установили заплаты для защиты от червя Blaster, уведомление о второй подобной проблеме в том же коде вызвало сильное недовольство клиентов, которые потратили время и силы на устранение первой ошибки. Остается надеяться, что теперь Microsoft устранит все проблемы с интерфейсами MSRPC. Независимо от этого, еще очень далеко те времена, когда можно будет с уверенностью сказать, что использование служб удаленного доступа Microsoft на различных портах не таит никаких угроз.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика