На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Расширение привилегий

Расширение сферы влияния 'Сокрытие сл

Будем считать, что на данном этапе атаки нам удалось успешно пройти аутентификацию на удаленной системе семейства Windows NT с правильным паролем и именем пользователя, не имеющего прав администратора. Для злоумышленника это важный плацдарм, но, к со­жалению (с точки зрения хакера), такая позиция очень ограничена. Напомним наше описание стандартных привилегий Windows Server 2003 в главе 2, '"Архитектура системы безопасности Windows Server2003". Если вы не обладаете правами администратора, вы не получаете практи­чески ничего! Чтобы получить информацию со взломанной машины и остальной часта сети, не­обходимо расширить привилегии до статуса более мошной учетной записи.
Среди специалистов по защите информации этот процесс называется расширением привиле­гий. Этот термин в общих чертах описывает процесс расширения возможностей владельца теку­щей учетной записи пользователя до возможностей более привилегированной учетной записи, обычно суперпользователя, такой как учетная запись администратора или запись SYSTEM. С точ­ки зрения хакера, взлом учетной записи пользователя и последующая атака по расширению привилегий может быть проще, чем поиск на удаленной системе уязвимого места, которое сразу же могло предоставить права уровня суперполъзователя. В любом случае, прошедший аутенти­фикацию злоумышленник, скорее всего, будет иметь в своем распоряжении больше ресурсов, чем тот, кто не прошел аутентификацию, независимо от уровня привилегий.
Урон, который может нанести обычный пользователь, нельзя недооценивать. Во время про­фессионального тестирования систем на устойчивость ко взлому мы иногда, торопясь получить права супер пользователя, пропускали критически важную информацию, хранящуюся в обще­доступных совместно используемых ресурсах, которые можно было смонтировать через взло­манную учетную запись. И только позже, изучая взломанную систему с привилегиями супер-пользователя, замечали, что уже могли получить нужную информацию значительно раньше!
Атака в целях расширения привилегий — также очень популярный вид атаки среди пользовате­лей, которые уже имеют доступ к системе, особенно если у них есть интерактивный доступ к сис­теме семейства Windows NT. Представьте себе такой сценарий: работник компании хочет получить информацию о зарплате своих коллег и пытается получить доступ к внутренним ресурсам отдела кадров или финансовым базам данных через нормальное соединение со службой Terminal Server. После прохождения аутентификации расширение привилегий может дать пользователю возмож­ность получить права, уровень которых будет достаточным для просмотра корпоративных данных о выплатах. Рассматривая этот сценарий, помните о статистике — большая часть компьютерных преступлений совершается законными пользователями (постоянными и временными работника­ми, контрактными служащими и ГЛ.). Читайте дальше и вы убедитесь, насколько легко повысить уровень привилегий в недостаточно защищенных системах семейства Windows NT.
В этой главе мы обсудим несколько широко известных уязвимых мест систем под управ­лением Windows 2000 и Windows ХР, с помощью которых можно расширить привилегии. Ко времени создания этой книги еще не было сообщений о выявлении серьезных уязвимых мест в Windows Server 2003.
▼ Прогнозирование именованных каналов .диспетчера управления службами (Service Control Manager)
■ Запросы NetDDE, запускаемые от имени учетной записи SYSTEM
* Ошибки аутентификации отладчика (программа атаки на отладчик ядра)
Также советуем читателю обратиться к главе 10. "Хакинг сервера IIS", посвященной сер­веру IIS, где описаны другие уязвимые места, используемые для расширения привилегий в случае доступности Internet-служб.
Прогнозирование номера именованных каналов
Этот изъян в использовании именованных каналов (named pipes) Windows 2000 был обна­ружен исследователями из Guardent. Он позволяет интерактивно подключенным пользовате­лям работать от имени учетной записи SYSTEM и выполнять произвольные программы с пре­доставляемыми ей привилегиями. Дело в том, что Windows 2000 для диспетчера управления службами (Service Control Manager, SCM) использует именованные каналы с предсказуемы­ми именами.
Служба SCM при межпроцессном взаимодействии использует уникальный именованный канал для каждой запускаемой ею службы. Формат имени такого именованного канала имеет следующий вид.
\\.pipe\net\NtControlPipel2
где 12 — номер канала.
Прочитав значение параметра реестра HKLM\SYSTEM\CurrentControlSet\Control\ ServiceCurrent, злоумышленник может сделать вывод, что следующим именем канала будет
\\.\pipe\net\NCControlPipel3
В данной атаке используется предсказуемость номера канала, который создается до того, как канал с тем же именем будет создан службой SCM. Когда новая служба будет запущена, она подключится к каналу злоумышленника. Если службе SCM предоставить возможность запуска любой службы, а особенно службы, которая выполняется от имени учетной записи с широкими привилегиями (например ClipBook, которая запускается от имени учетной запи­си SYSTEM), то служба SCM подключит эту службу к каналу злоумышленника. Злоумышлен­ник после этого сможет использовать контекст безопасности службы и получит возможность выполнять команды с правами SYSTEM или другой учетной записи, от имени которой запус-
кается служба.


PipeUpAdmin

 

Популярность

7

Простота

8

Опасность

10

Степень риска

8

Использование уязвимого места, связанного с предсказуемостью имен каналов, становит­ся очень простым при использовании для этой цели программы PipeUpAdmin хакера Масео. Программа PipeUpAdmin добавляет учетную запись текущего пользователя в группу локаль­ных администраторов, как показано в следующем примере. Будем считать, что пользователь wongd прошел аутентификацию с интерактивным доступом к командной консоли. Пользова­тель wongd является членом группы Server Operators. Сначала он (wongd) проверяет со­став группы администраторов.
С:\>net localgroup adininietratore
Alias name Comment
Members
administrators
to the computer/domain
Administrator
The command completed successfully.
Затем хакер делает попытку добавить себя в группу Administrators, но получает сообщение о запрете доступа, так как не и меет необходимых для этого привилегий.
C:\>net localgroup administrators wongd /add
System error 5 has occurred. Access  is denied.
Наш герой, пользователь wongd, не сдается. Он загружает из Internet программу PipeUpAdmin (см. раздел "Дополнительная литература и ссылки"), после чего запускает ее.
":\>pipeupadmin
PipeUpAdmin Maceo <maceo S dogmile.com> (C) copyright 2000-2001 dogmile.com The ClipBook service is not started. More help is available by typing NET HELPMSG 3521. Impersonating: SYSTEM The account:   FS-EVIIA wongd
has been added to the Administrators group.
Теперь пользователь wongd вызывает команду net localgroup и находит свое имя там, где и хотел его обнаружить.
C:\>net localgroup administrators
Alias name administrators
Comment Administrators have complete and unrestricted
access to the computer/domain
Members

 

 

 

 

 

Administrator

 

 

wongd

 

 

 

The command completed successfully.
Все, что теперь должен сделать пользователь wongd для получения прав администратора, — выйти из системы и снова зайти. Эта операция необходима при использовании многих про­грамм для расширения привилегий, поскольку Windows 2000 должна перестроить маркер досту­па текущего пользователя, чтобы добавить к нему идентификатор SID новой группы. Маркер можно обновить вызовом функции API или выходом из системы и повторной аутентификацией (маркеры доступа описаны в главе 2, "Архитектура системы безопасности Windows Server 2003").
Также отметим, что программу PipeUpAdmin необходимо запускать из контекста пользо­вателя interactive (это значит, что вы должны войти в систему через ее физическую кон­соль или через удаленное подключение со статусом interactive, для чего можно использо­вать службу Terminal Services). Таким образом, программу PipeUpAdmin нельзя запускать че­рез удаленные подключения, созданные с маркером без идентификатора SID interactive. Другими словами, эту программу атаки нельзя вызывать через удаленные сеансы netcat, подобные описанным в главе 7, "Переход к интерактивному режиму работы".

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика