На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Атака сервера TS

Конечно, применение технологии, которая реализует удаленный графический интерфейс С возможностью выполнения команд, связано с определенным риском. Однако в истории службы TS не отмечено сообщений о выявлении серьезных уязвимых мест, и методы атак в основном ограничивались попытками подбора пароля.
Реализации серверов приложений (Application Server) требуют более тщательного планирования и управления сервером, поскольку серьезной проблемой становятся почти все уязвимые места в операционной системе узла и локальных приложениях. Важно понимать, что вто время, как пользователи ограничены выполняемым приложением, конфигурация по умолчанию позволяет им выполнять очень широкий спектр команд. Даже при большом старании трудно ограничить в действиях пользователей, которые успешно прошли аутентифи­кацию, и не дать им запускать команды в контексте авторизованных приложений.
1 ° 'о
Подбор паролей
Популярность
7

Простота

7

Опасность -%

8
■■■■

Степень риска
7

Подбор паролей — это старый трюк, который работал даже у Мэтью Бродерика (Mathew Broderick) в фильме War Games. Однако им все еще пользуются, а интерактивный способ работы с программой TS повышает опасность таких атак.
Что еще хуже, интерактивный вход в систему TS эквивалентен настоящему входу в систему, поэтому нельзя установить порог блокировки настоящей учетной записи администратора (описание блокировок учетных записей дается в главе 5). Это значит, что локальная учетная запись администратора остается легкой добычей при доступной службе TS.
К счастью для законопослушных пользователей, подбор паролей для подключения к серверу TS не гак просто осуществить, как это может показаться. Напомним, что приветственное окно клиента Terminal Services — это простое отображение удаленного окна для входа в систему. Здесь нет никаких вызываемых API и для успешного подключения к серверу TS необходимо ввести текст в соответствующее место этого окна. Достаточно сложно программно определить содержимое окна при открытии сеанса и создать автоматический сценарий для подбора пароля (более подробную информацию по этому вопросу можно получить, обратившись по ссылкам, которые приведены в конце этой главы, в разделе "Дополнительная литература и ссылки'*).
Одной из первых попыток преодолеть эту преграду стала программа TSGrinder, написанная Тимом Мулленом (Tim Mullen, также известный как Итог). Вместо атаки через стандартный \ЭДп32-клиент службы TS программа TSGrinder использует элемент управления ActiveX для TS. Хотя элемент управления ActiveX был создан специально для того, чтобы запретить доступ К методам пароля через сценарии, методы интерфейса imsTscMonS crip Cable вполне доступны через виртуальные таблицы с использованием языка С++. Таким образом, к элементу управления можно написать пользовательский интерфейс и атаковать учетную запись администратора до тех пор, пока пароль не будет подобран. С момента анонсирования этой программы в начале 2001 года Тим Муллен внес некоторые изменения в ее реализацию и заявил о выпуске версии TSGrinder 2 во время конференции Black Hat, которая проходила в июле 2003 года (программный код доступен на Web-сайте Тома http://www. tiamrnerof god. com). Как и заявлялось в рекламе, программа TSGrinder работает с впечатляющей скоростью и практически мгновенно "впечатывает' новый вариант пароля в окно клиента TS для входа в систему. Рас­смотрим пример сеанса работы TSGrinder и успешного отгадывания пароля для системы Windows Server 2003 (графическое окно для подключения к системе отрывается одновременно с этим сеансом в режиме командной строки).
password apple - tailed password orange - failed password pear - failed
password monkey - failed password racoon - failed password giraffe - failed password dog - failed password cat - failed password balls - failed password guessme - success!
С помощью аргументов командной строки программе TSGrinder передаются значения для имени пользователя, домена, баннера (для случая, когда "противные" системные администраторы пытаются вывести дополнительный баннер для подключения к системе до отображения окна входа в систему), многопоточкости и уровней отладки.
Перед выходом версии TSGrinder 2 хакер по прозвищу gridrun был настолько нетерпелив, что в августе 2002 года разработал собственный метод для подбора пароля службы TS. Он назвал свою программу TSCrack. В этой программе используется технология, подобная той, ко­торая применяется при оптическом распознавании символов (OCR) для "сканирования"' содержимого экрана. В результате стало возможным создание простой программы для подбора паролей с использованием словаря.
Работает программа TSCrack медленно (по результатам наших испытаний осуществляется проверка только двух паролей в минуту) и часто выдает неправдивую информацию о взломе пароля. Наверное, больше пользы было бы от использования более современной программы TSGrind 2. Рассмотрим доступные параметры для программы TSCrack (1).
С: \>«вогасЗс
terminal services cracker (tscrack.exe) v2.0.37 2002-01-09 П:24 (с] 2002 by gridrun [TNC] - All rights reserved -http://softlabs.spacebitch.com
PM
Osage help:
tscrack [switch) Parameters: [switch [argil
<Host/IP[:port]>
<Host/IP[:port]> : DNS name or IP address of target server, optional port
Switches:
-a
-V -s -b
-t' -K
■ .
Print usage help and exit Print version info and exit Print chipher strenght info and exit Enable failed password beep Use two simultaneous connections Prevent System Log entries on targeted server Wordlist entry to start cracking with Account name to use, defaults to Administrator Wordlist to use; tscrack tries blank passes if omitted Use -cpassword> to logon instead of wordlist/blank pass Specify domain to attempt logon to
-E <number> -1 <user? -w -twordliso -p <password>
-D <domain;>
Л теперь посмотрим на результат работы программы для службы TS, запущенной на системе под управлением Windows Server 2003, C;\>t»crack -И -w dietionary.txt саеввгя
terminal services cracker (tscrack.exe) V2.0.37 2002-01-09 17:24 PM (c) 2002 by gridrun [TNC] - All rights reserved -http://softlabs.spacebitch.com Checking server connectivity... OK Initializing AI... OK
Loading dictionary (dictionary.txtl ... Loaded (10) entries from file. OK. Initiating wordlist cracking mode against (Administratorticaesars) .-. .

В этот момент появляется окно, свидетельствую шее о работе программы TSCrack. Как и указано в предупреждении внизу окна, не нужно вмешиваться в процесс подбора пароля (при работе в системе, в которой запушена программа TSCrack, это окно время от времени появляется поверх всех других окон в системе). После завершения работы программы TSCrack будет отображено примерно следующее сообщение.
FAILURE: Examined (101 passwords without success. ELAPSED: [268) seconds; 2.239 attempts / min
Для остановки работы TSCrack просто нажмите клавиши <CTRL+C> при работе в командном интерпретаторе, из которого запускалась программа.
Меры противодействия подбору пароля
Если, прочитав главу 5, "Атака на службы Windows", вы все еще раздумываете над тем, устанавливать порог блокировки учетной записи или нет, то в случае, если вы используете службу TS, отбросьте все сомнения. Не забывайте, что при использовании службы Passport для установки порога блокировки для учетной записи Administrator (RID 500) это предельное значение не будет учитываться при интерактивных попытках входа в систему с помощью TS. Поэтому необходимо установить длинный и сложный пароль для учетной записи администратора. Кроме того, все события входа в систему (как успешные, так и неудачные) должны записываться в журналы.
Как было сказано в главе 5, "Атака на службы Windows", мы также рекомендуем переименовать учетную запись локального администратора, особенно для сервера TS. Учетная запись администратора предоставляет неограниченные права на локальной машине, интерактивно ее заблокировать нельзя. Поскольку вход в систему TS интерактивен по определению, злоумышленники до бесконечности смогут удаленно подбирать пароли к учетной записи администратора. Изменив имя учетной записи администратора, вы сдвинете мишень для хакера (хотя настоящую администраторскую учетную запись можно выявить, воспользовавшись способами инвентаризации, описанными о главе 4, "Инвентаризация", если на атакуемой системе доступны такие службы, как SMB или SNMP).
Еще один интересный способ противодействия атаке сервера TS подбором пароля — создание пользовательского предупреждения на экране входа в систему. Это делается путем редактирования или добавления параметров реестра, приведенных ниже.
HKLM\SOFTWARE\MicrosoftWindows KT\CurrentVersion\Winlogon
Имя
Тип данных

Значение

LegalNoticeCaption
REG_S2

[пользовательский заголовок окна]

LegalNoticeTea
REG_SZ

[сообщение пользователя]

Теперь система семейства Windows 2000 будет отображать окно с заголовком для пользователя и сообщением после того, как будут нажаты клавиши <CTRL+ALT+DEL>, и перед тем, как появится диалог для входа в систему, даже при подключении через службу TS. Не совсем ясно, как это повлияет (если вообще повлияет) на атаки подбором паролей, аналогичные реализуемой программой TSGrinder или TSCrack, но, по меньшей мере, хакерам потребуется потратить еще немного сил и времени на преодоление дополнительный преграды в виде окна с кнопкой ОК.
Если вы испопьзуете сообщение для пользователей, установите "горячее исправление" из статьи базы знаний Q274190, оно решает проблему исчезновения сообщения в случаях, когда в течение двух минут пользователь бездействует.
Атаки по расширению привилегий пользователя■
Рассмотренные ниже атаки имеют значение только для запуска сервера TS в режиме Terminal Services (ранее сервер приложений).
Если в системе нет программы Terminal Server, то худшее, что может сделать злоумышленник после того, как получит доступ к непривилегированной учетной записи, — смонтировать на системе совместно используемый ресурс и читать или записывать данные с него. Но сервер TS меняет положение радикальным образом. Непривилегированные пользователи, которые подключились к серверу TS, наследуют в маркерах доступа идентификатор interactive (см.главу2, "Архитектура системы безопасности Windows Server 2003"). Это дает возможность запускать все типы атак по расширению привилегий, которые при обычном подключении через сеть не работают. Простые приложения, подобные перечисленным в главе 6, "Расширение привилегий", (PipeUpAdmin, netddemsg и Debploit), работают локально и предоставляют права, эквивалентные правам администратора. Эти программы атаки можно легко загрузить из Internet и запустить в сеансе работы с сервером TS. На сервере Terminal Server, в котором не были установлены соответствующие исправления, администратором может стать каждый!
Существует и несколько косвенных методов для расширения привилегий в режиме Terminal Services (сервер приложений) на сервере TS без использования модных программ атаки. Среди тех средств, с помощью которых нам удавалось добиться успеха, можно назвать ис­пользование возможностей Web-приложений на сервере TS. Поскольку для запуска таких приложений требуется запустить Web-браузер, то можно вводить полные имена локальных файлов в окно браузера. В результате, если списки контроля доступа настроены неправильно, злоумышленник сможет получить искомый файл или сможет исследовать систему с помощью Internet Explorer. Отметим, что большинство современной документации поставляется в виде скомпилированных HTML-файлов, где ссылки легко заменить вредоносными исполняемыми файлами. При наших исследованиях мы заменяли "'безопасные" программы наподобие notepad.ехе более мощными средствами, например переименованной программой cmd.exe. Это позволяет обойти ограничения, установленные для пользователей.
Защита от атак по расширению привилегий
Критически важно, чтобы к серверам Terminal Server, доступ к которым разрешен для непривилегированных учетных записей, применялись все выпускаемые заплаты для ошибок, связанных с возможностью расширения привилегий. Такие ошибки и заплаты к ним перечислены и описаны в главе б, "Расширение привилегий".
Особое внимание следует уделить уровню доступа, который предоставляется пользователям сервера TS. При использовании Windows Server 2003 сделать это проще, благодаря наличию группы Remote Desktop Users (RDU). Для ограничения действий пользователей мы так­же советуем воспользоваться политиками Software Restriction.
При работе в Windows 2000 мы рекомендуем создать специальную Группу для пользователей TS. Для систем Windows 2000 (в которых не реализованы возможности установки политик Software Restriction)желательно использовать функции, предоставляемые программами паке­та Windows 2000 Resource Kit. Мы рассмотрим наиболее важную из них, appsec, в разделе "Утилита appsec. ехе".
Как для систем под управлением Windows 2000, так И для систем Windows Server 2003 параметры групповой политики можно использовать по отношению к организационной единице (OU), содержащей серверы TS, для полного ограничения действий в среде Windows. Интересным вариантом может оказаться ограничение действия сеансов TS предоставлением доступа только к меню Start (Пуск) И одной ММС-консоли, на которую будут выведены определенные оснастки. Таким образом, пользователи TS будут ограничены в своих действиях только выбранными для них оснастками. При настройках безопасной работы в режиме Terminal Services (Application Server) придерживайтесь принципа "запретить все, что не разрешено явно".
При создании системы безопасности и списков контроля доступа не забывайте о хакерах, И защищайте мощные исполняемые программы, такие как Internet Explorer и скомпилированные файлы помощи.
*Sp Перехват данных
Популярность 2

Простота 2

Опасность 5

Степень риска 5

Протокол RDP доказал свои возможности противодействия атакам по перехвату данных. Это не удивительно, ведь этот протокол изначально разрабатывался с поддержкой шифрования передающейся информации по сети. В сентябре 2002 года компания Microsoft выпустила бюллетень безопасности, в котором указывалось о выявлении ошибки при реализации функций шифрования в различных версиях RDP: контрольные суммы сеансов незашифрованных данных отправлялись без шифрования. Таким образом хакер, который может перехватить и записать данные RDP-сеанса, способен провести атаку с использованием средств криптоанализа относительно контрольных сумм и восстановить исходный текст перехваченного сеанса (в новом сеансе используются уникальные ключи сеанса, поэтому злоумышленнику придется перехватывать каждый сеанс, который он хочет дешифровать).

О Защита от перехвата данных
Бюллетень
MS02-051

BID
5711

Исправлено в SP
Windows2000SP4u

Windows XF ИР1

Фиксируется
Нет



В данном случае для исправления ситуации существует надежная заплата. Установив эту заплату, можно чувствовать себя защищенным от перехвата данных, поскольку на сегодняшний день не разработано механизмов для перехвата полезной информации, передаваемой по протоколу RDP.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика