На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защита от использования прогнозирования имен каналов

 


Бюллетень

MS0O-O53

BID

1535

Исправлено в SP

,-Ч!:Э "У".

 

Фиксируется

Да


Единственная мера противодействия атакам в ответ на обнаружение недостатков реализа­ции на уровне системы, аналогичных рассмотренным в этом разделе, — использовать запла­ты, выпускаемые компанией Microsoft (ссылка на бюллетень безопасности, в котором приво­дится информация о заплате, дана в разделе "Дополнительная литература и ссылки"). Неко­торые общие меры против расширения привилегий описаны в конце этой главы.
Отметим также, что добавление учетной записи в группу администраторов может быть за­фиксировано при включенном аудите событий управления учетными записями. Это удобный способ отслеживать попытки использования утилиты PipeUpAdmin в ваших системах, хотя злоумышленник, обладающий здравым смыслом, легко удалит записи в журналах, пользуясь полученными привилегиями.
Опасные запросы NetDDE
В феврале 2001 года хакер Dildog из @stake обнаружил уязвимое место в службе Network Dynamic Data Exchange (NetDDE, служба сетевого динамического обмена данными) Windows 2000, которая позволяла локальному пользователю выполнять любые команды с привилегиями учетной записи SYSTEM. Служба NetDDE представляет собой технологию, которая даст возможность приложениям совместно Использовать данные "надежных общих ресурсов" (trusted shares). Через доверяемый ресурс можно сделать запрос на запуск приложе­ния, которое будет выполняться в контексте учетной записи SYSTEM.
* О It*
netddemsg


Популярность

6

Простота

7

Опасность

10

Степень риска

7

Группа @stake выпустила исходный код программы netddemsg, которая автоматизирует процесс расширения привилегий с использованием описанного выше уязвимого места.
Для компиляции исходного кода netdde.cpp, выпущенного группой ©stake, при компоновке необходимо включить библиотеку nddeapi. lib; в Visual С++ это делается через пункт меню Projects Settings ^закладка Unk^Object/library modules, где необходимо добавить пробел и имя файла nddeapi. lib.
Еще до запуска этой программы атаки необходимо запустить службу NetDDE. Большая часть учетных записей пользователей не имеет Прав для запуска данной службы, но это могут сделать члены группы Operators (встроенные учетные записи и их привилегии описаны в гла­ве 2, "Архитектура системы безопасности Windows Server 2003"). Ниже показано, как из ко­мандной строки запустить службу NetDDE (также это можно сделать с помощью компонента Services (Службы)консоли управления ММС командой Run (Выполнить)1^ services, msc).
c:\>nat start netdde
The Network DDE service is starting.
The Network DDE service was started successfully.
Если теперь запустить программу netddemsg без аргументов командной строки, она предло­жит использовать правильный формат команды, как показано на 1.
Рис. 6.]. Программа netddemsg предлага­ет ввести команду в правильном формате
Теперь можно запустить программу netddemsg и указать после параметра -s совместно используемый ресурс и команду, которую необходимо выполнить. Попробуем команду cmd. ехе, чтобы открыть окно командного интерпретатора.
С:\>netddemsg -в CbatS crad.exe
Почти сразу после запуска команды на выполнение появится окно командной консоли, которое выполняется в контексте учетной записи SYSTEM, как показано на 2. Чтобы показать, что действительно используется учетная запись SYSTEM, мы выполнили программу whoami из пакета Resource Kit.
I. \WIMM I Wilsirij:"uu;r.( Iх.ч
Microsoft Ulnduvs 2ШЯ [Uersion E.BB.21951 <C> Copyright 1S85-H9? nicrmofc Corp.
C:\UINKINsiFstea32 >uhnani 1П HUTkORlfysEVSIEH
C:vUINHTSssrslcn33>_
Puc. 6.2. Результат работы программы netddemsg — командный интерпретатор выполняется в контексте учетной запаси SYSTEM!
Отметим, что, в отличие от описанной выше утилиты PipeUpAdmin, программа netddemsg не требует выхода из системы для обновления маркера доступа пользователя. Командный ин­терпретатор, запущенный программой netddemsg, запускается в контексте учетной записи system прямо в текущем сеансе работы.
Но, как и утилиту PipeUpAdmin, программу netddemsg необходимо запускать в контексте
соль или через удаленное подключение со статусом interactive, для этого можно использо­вать службу Terminal Services). Программы атаки для расширения привилегий, которые не тре­буют интерактивного подключения к системе, описаны в главе 10, "Хакинг сервера 1IS".
О Меры противодействия расширению привилегий через NetDDE
Бюллетень MS01-007
BID_2341
Исправлено в SP_3__
Фиксируется Да_
Как и для противодсйстния использованию прогнозируемых имен каналов, единственное средство защиты в случае обнаружения подобных недостатков реализации на уровне систе­мы — использовать заплаты, выпускаемые компанией Microsoft (ссылка на бюллетень безо­пасности, в котором приводится информация о нужной заплате, дана в разделе "Дополни­тельная литература И ссылки"). Некоторые общие меры против расширения привилегий опи­саны ниже.
Заметим также, что запуск службы NetDDE при включенном аудите может быть записан в журнале. Это неплохой способ отслеживать попытки использования программы netddemsg в ваших системах.

Вредоносное использование отладчика Windows
В марте 2002 гола Радим Пича (Radim Picha), также известный как EliCZ, опубликовал описание метола расширения привилегий в системах Windows NT и Windows 2000 с помощью "■прикрепления" подсистемы отладки компонента Windows Session Manager (диспетчер сеан­сов Windows) к привилегированному процессу. Он назвал свою программу "Debploit". Эта программа позволяет хакерам еще проще добиваться своих целей, чем при использовании программ Pipeb'p или netddemsg. Компании Microsoft потребовалось около двух месяцев на выпуск заплаты.
Намного позже, в апреле 2003 года, Microsoft выпустила заплату для устранения другой проблемы безопасности, связанной с тем, как ядро передает сообщения об ошибке отладчи­ку. Эта ошибка также позволяла обычному пользователю расширить свои привилегии. Очень скоро в Internet появилась программа атаки, использующая это уязвимое место.
Рассмотрим обе программы атаки более подробно.


Debploit

 

 

Популярность

6

 

Простота

8

 

Опасность

10

 

Степень риска

8

Основным открытием Радима Пича было то, что свойства отладчика Windows Session Manager (SMSS, 'k systemroot^\system32\smss . exe) позволяет любому пользователю управлять любым процессом или потоком в системе {Session Manager выполняет важные

функции инициализации Windows). В результате с помощью вышеупомянутой программы атаки ('"Debploit") любой пользователь может запустить командный интерпретатор от имени учетной записи SYSTEM. Эта программа имеет несколько характерных особенностей, выде­ляющих ее среди других подобных программ расширения привилегий:
Т злоумышленник не должен входить/вы ходить из системы (какдля PipeUp); * злоумышленник не должен запускать службу (какдля NetDDE).
Метод использования программы Радима довольно сложный, но постараемся помочь тем, кто захочет ее проверить на своих системах. Сначала извлеките каталог ERunAsX из Zip-файла Debploit. Скопируйте этот каталог на атакуемую систему. Войдите В атакуемую систему как обыч­ный пользователь, откройте командный интерпретатор, перейдите в каталог ERunAsX и запустите файл test.bat. Будет запущен командный интерпретатор с привилегиями SYSTEM. Хотя в этот момент система уже перешла в распоряжение злоумышленника, опытные хакеры часто вызывают команду net localgroup administrators [пользователь] /add для добавления себя в более 'удобную" группу локальных администраторов.
© Защита от Debploit


Бюллетень

MS02-024

BID

 

Нет

 

Исправлено в SP

 

3

 

 

Фиксируется

 

Нет

 

Для блокирования этой атаки есть два простых средства.
т Установите Windows 2000 SP 3 или заплату MS02-024 (см. раздел "Дополнительная ли­тература и ссылки" в конце этой главы).
* Прочтите раздел "Меры противодействия расширению привилегий".
Программа атаки на отладчик ядра


Популярност ь

6

Простота

7

Опасность

10

Степень риска

7

Это уязвимое место в системах Windows NT 4, Windows 2000 и Windows ХР возникает в ре­зультате переполнения буфера в программном коде ядра Windows, описывающем передачу сообщения об ошибке'отладчикам. Она работает, как и Debploit — достаточно запустить скомпилированный код программы (см. ссылку в разделе "Дополнительная литература и ссылки") на атакуемой системе, как показано 1шже.
С:\>xdebug
xDebug -> windows kernel exploit for MS03-013 Written by ey4s-;cooleyas@21cn . com> 2003-05-23
DEBUG_EVENT —> create process DEBUG_EVENT —> load dll DEBUG_EVENT load dll
DEBUG_EVENT --> except shellcode Ox004Q99T8 realcode OxO04Q9B7C
ESP=0012FE64 CS=0xlB DS=0x23 ES=0x23 FS=0x3i DEBUG_EVENT —> except DEBUG_EVENT --> load dll DEBUG_EVENT load dll
DEBUG_EVENT --> load dll DEBUG_EVENT --> load dll DEBUG_EVENT --> load dll
Send shellcode to ntCisKrnl completed!Wait for exit. DEBUG_J£VENT —> exit process ■

Откроется окно другого командного интерпретатора, запущенного в контексте привиле­гированной учетной записи LocalSystem.
НА ЗАМЕТКУ
Благодарим Дэвида Вонга (David Wong) за советы по работе программ атаки.
О Защита от программы атаки на отладчик ядра

 


Бюллетень

MS03-013

 

 

 

BID

Нет

 

Исправлено в SP

тт  w-w               Р                              л л л              Лш1ч J

 

 

Windows 2000 SP 4

uWmdowsXPSP2

 

Фиксируется

Нет

 

Защита от этой атаки подобна рассмотренным выше мерам противодействия.
т Установите соответствующее исправление Service Pack или заплату (см. раздел "Допол­нительная литература и ссылки" в конце этой главы).
*  Прочтите раздел "Меры противодействия расширению привилегий".
-
Меры противодействия расширению привилегий
Кроме простого применения исправлений, выпускаемых для устранения описанных уяз­вимых мест, для повышения защищенности системы необходимо предотвратить возможность получения хакерами нсадминистративных привилегий. Особенности защиты системы зави­сят от ее назначения, например, является ли эта система общедоступным Web-сервером или локальным файловым сервером и сервером печати. Но для ограничения эффективности атак по расширению привилегий разработана общая стратегия.
т Все описанные в этой главе программы атаки требуют для работы интерактивного подключения к системе. Запретите вход в систему с идентификатором INTERACTIVE. Будьте особо внимательны к тем учетным записям, которые обладают широкими при­вилегиями, но не требуют идентификатора INTERACTIVE (заблокируйте возможность его получения).
■ Запретите доступ к системным программам, которые пользователю не требуются, на­пример, к программе cmd. ехе. Без доступа к критически важным исполняемым фай­лам системы хакер будет существенно ограничен в возможностях.
■ Используйте утилиту аррsec из пакета Terminal Services Resource Kit для ограничения прав учетных записей относительно доступа к исполняемым файлам (см. главу 12, "Хакинг программы Terminal Server").
■ Используйте возможность ограничения прав групп (Restricted Groups) с помощью ос­настки Group Policies (Политики групп) для предотвращения добавления учетных за­писей в привилегированные группы домена Windows Server 2003.
А Аудит событий в системе Windows Server 2003 позволяет выявлять вредоносные дейст­вия. О рекомендуемых параметрах аудита в Windows Server 2003 было рассказано в гла­ве 2, "Архитектура системы безопасности Windows Server 2003".

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика