Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

Windows NT - проблемы безопасности

NT: проблемы безопасности

Дмитрий Леонов
web@wclass.dol.ru

Цель этой статьи - освещение некоторых проблем безопасности Windows NT и способов их устранения. Была использована информация из следующих источников:

Троянская конница

Дистрибутивы NTWS4.0 и NTS4.0 включают утилиту rollback.exe, предназначенную для настройки пользователями предустановленной системы. Ее запуск приводит к очистке реестра (без предупреждения) и возврату к концу Character Based Setup (часть установки до появления GUI). Запуск ее из-под рабочей системы приводит к тем же невеселым последстиям (потеря аккаунтов, настроек протоколов, пользовательских настроек и т.п.). Найти ее можно на CD-ROM с NT в каталоге Support\Deptools\<system>\
Подробности: http://support.microsoft.com/support/kb/articles/Q149/2/83.asp

Каталоги %systemroot% и %systemroot%\system32 имеют по умолчанию право доступа Change для Everyone. Это может привести к самым разнообразным последствиям типа замещения части системных dll "троянскими" и т.п. При этом они могут быть вызваны из самых разных программ - в том числе, из программ, работающих с системными правами доступа.
Для защиты достаточно грамотно установить права доступа. Кстати, программа DumpAcl позволяет вывести права доступа для различных объектов - файлов, реестра, принтеров и т.п. в общий список, удобный для просмотра.

В реестре есть ключ
<HKLM\SYSTEM\CurrentControlSet\Control\Lsa>
со значением
<Notification Packages: REG_MULTI_SZ: FPNWCLNT>

Эта DLL существует в сетях, связанных с Netware. Поддельная FPNWCLNT.DLL в каталоге %systemroot%\system32 вполне может проследить все пароли. После копирования и перезагрузки все изменения паролей и создание новых пользователей будут отслеживаться этой dll и записываться (открытым текстом) в файл c:\temp\pdwchange.out.
Для защиты достаточно удалить этот ключ и защитить эту часть реестра от записи.

Испольняемые файлы могут быть переименованы в файлы с любым расширением (или без расширения), но они все равно запустятся из командной строки (например, переименуйте notepad.exe в notepad.doc и запустите "start notepad.doc"). Ну и что, спросите Вы ? Тогда попробуйте представить процесс прочтения файла rollback.exe, переименованного в readme.doc. Очень эффективно.

Большая часть реестра доступна для записи группе Everyone. Это же относится и к удаленному доступу к реестру. Может оказаться опасным, особенно в сочетании с автоматическим импортом reg-файлов. В реестре NT4.0 появился ключ
<HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg>
при наличии которого доступ к реестру отрыт только администраторам. В NT Server этот ключ существует по умолчанию, в NTWS может быть добавлен.
Подробности: http://support.microsoft.com/support/kb/articles/Q155/3/63.asp

Проблемы приложений

В FrontPage 1.1 пользователь IUSR_* имеет право доступа Full Control к каталогу _vti_bin и Shtml.exe. Если взломщик узнал пароль IUSR_<hostname> (обычно достаточно простой), то он может получить доступ к каталогу с исполняемыми файлами. В FrontPage'97 это упущение исправлено.
Подробности: http://support.microsoft.com/support/kb/articles/Q162/1/44.asp

При запуске администратором в Windows NT 3.51 File Manager из панели MS Office 7.0, он получает доступ к каталогу, на который у него нет прав доступа. Это связано с тем, что File Manager наследует права 'backup and restore permissions' от панели Office, которые используются Офисом для записи пользовательских настроек в реестр. Ошибка исправлена начиная с Office7.0a
Подробности: http://support.microsoft.com/support/kb/articles/Q146/6/04.asp

Служба FTP позволяет устанавливать пассивные соединения на основе адреса порта, указанного клиентом. Это может быть использовано взломщиком для выдачи опасных команд службе FTP.
Реестр содержит ключ
<HKLM\System\CurrentControlSet\Services\MSFTPSVC\Parameters>
со значением
<EnablePortAttack: REG_DWORD: >
Убедитесь, что значение установлено в '0', а не '1'.
Подробности: http://support.microsoft.com/support/kb/articles/Q147/6/21.asp

Несанкционированный доступ

Драйвер ntfsdos.exe позволяет читать раздел с NTFS из DOS,Windows,Windows'95. Права доступа при этом игнорируются. Авторами был обещан вариант драйвера с возможностью записи.
Аналогичный драйвер (read only) существует для Linux: http://www.informatik.hu-berlin.de/~loewis/ntfs/

Один из популярных методов проникновения в систему - подбор пароля. Для борьбы с этим обычно устанавливают блокировку учетной записи пользователя после определенного числа неудачных попыток входа. Приятным исключением является учетная запись администратора. И если он имеет право доступа на вход через сеть, это открывает лазейку для спокойного угадывания пароля.
Для защиты рекомендуется переименовать пользователя Administrator, установить блокировку учетных записей, запретить админитратору вход в систему через сеть, запретить передачу SMB пакетов через TCP/IP (порты 137,138,139), установить протоколирование неудачных входов.
Подробности: http://somarsoft.com/ntcrack.htm

Еще один способ - перехват проходящей по сети информации.
Подробности:
IP-Watcher http://www.engarde.com/software/ipwatcher/watcher.html
MS SMS Netmon http://www.microsoft.com/smsmgmt/

Проблемы IIS

Пользователь Anonymous может получить в IIS права пользователей домена при установке IIS на контроллер домена (PDC)
Подробности: http://www.microsoft.com/kb/articles/q147/6/91.htm

Internet Information Server 1.0 (IIS) допускает использование batch-файлов в качестве CGI-прилложений. Это весьма опасно, поскольку batch-файлы выполняются в контексте командного процессора (cmd.exe).
Подробности:
http://www.microsoft.com/kb/articles/q155/0/56.htm
http://www.microsoft.com/kb/articles/Q148/1/88.htm
http://www.omna.com/iis-bug.htm

В IIS 1.0 адрес типа 'http://www.domain.com/..\.." позволяет просматривать и скачивать файлы вне корневого каталога web-сервера.
Адрес 'http://www.domain.com/scripts..\..\scriptname" позволяет выполнить указанный скрипт.
По умолчанию пользователь Guest или IUSR_WWW имеет права на чтение всех файлов во всех каталогач. Так что эти файлы могут быть просмотрены, скачаны и запущены.
Адрес "http://www.domain.com/scripts/exploit.bat>PATH\target.bat" создаст файл 'target.bat'. Если файл существует, он будет обрезан.
К тем же последствиям приведет адрес
"http://www.domain.com/scripts/script_name%0A%0D>PATH\target.bat".
Подробности: http://www.omna.com/iis-bug.htm

Если соединиться через telnet с портом 80, команда "GET ../.." <cr> приведет к краху IIS и сообщению "The application, exe\inetinfo.dbg, generated an application error The error occurred on date@ time The exception generated was c0000005 at address 53984655 (TCP_AUTHENT::TCP_AUTHENT"

Атаки типа Denial of Service

Ping of Death

Фрагментированный ICMP-пакет большого размера может привести к зависанию системы. Так, команда PING -l 65527 -s 1 hostname на NT 3.51 приведет к "синему экрану" с сообщением.

STOP: 0X0000001E
KMODE_EXCEPTION_NOT_HANDLED - TCPIP.SYS
-ИЛИ-
STOP: 0x0000000A
IRQL_NOT_LESS_OR_EQUAL - TCPIP.SYS

Подробности: http://www.microsoft.com/kb/articles/q132/4/70.htm
Исправление: 3-й Service Pack c последующей установкой ICMP-fix

SYN-атака.

Послав большое количество запросов на TCP-соединение (SYN) с недоступным обратным адресом, получим следующий результат:
При получении запроса система выделяет ресурсы для нового соединения, после чего пытается ответить на запрос (послать "SYN-ACK") по недоступному адресу. По умолчанию NT версий 3.5-4.0 будет пытаться повторить подтверждение 5 раз - через 3, 6, 12, 24 и 48 секунд. После этого еще 96 секунд система может ожидать ответ, и только после этого освободит ресурсы, выделенные для будущего соединения. Общее время занятости ресурсов - 189 секунд.

Подробности: http://www.microsoft.com/kb/articles/q142/6/41.htm
Исправление: 3-й Service Pack

WinNuke
Посылка данных в 139-й порт приводит к перезагрузке NT 4.0, либо вывод "синего экрана смерти" с установленным 2-м Service Pack'ом.
Исправление: 3-й Service Pack c последующей установкой OOB fix. Это исправление включено также в ICMP-fix.

Аналогичная посылка данных в 135 и некоторые другие порты приводит к значительной загрузке процессора RPCSS.EXE. На NTWS это приводит к существенному замедлению работы, NTS практически замораживается.
Исправление: 3-й Service Pack

Service Pack 3

Многие проблемы безопасности NT4.0 были устранены в 3-м Service Pack'е. Список исправлений весьма внушителен. В первую очередь это атаки типа Denial of Service - WinNuke, ошибка со 135-м портом, перехват сообщений SMB ("man-in-the-middle attack") и т.д. Настоятельно рекомендуется установить SP3, если Вас волнует вопрос безопасности Вашей системы. С момента выхода SP3 вышло еще несколько обновлений (hot-fixes), доступных на
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3.

asp-fix Устранение проблем производительности с Active Server Pages 1.0b, установленных на IIS3.0
dblclick-fix Некоторые программы (например, Visio Professional 4.x) после установки SP3 стали реагировать на двойной щелчок мыши как на одинарный. Включен в состав getadmin-fix.
dns-fix Устраняет некоторые проблемы, связанные с сервером DNS
getadmin-fix Решает проблему, связанную с программой getadmin.exe, которая позволяла пользователям (кроме Guest) добавить себя в группу Administrators локальной машины. Также включает dblclick-fix и java-fix.
icmp-fix Решение проблем с зависанием системы при получении фрагментированного ICMP-пакета большого размера. Включает также oob-fix.
iis-fix Остановка IIS 2.0 и3.0 при получении большлго CGI-запроса (от 4 до 8k)
java-fix Зависание IE3.02 при открытии страниц с Java после установки SP3. Включен в состав getadmin-fix.
lm-fix Позволяет отключить аутентификацию Lan Manager (LM). Добавляет в реестр новый параметр к следующему ключу: HKLM\System\CurrentControlSet\control\LSA
Value: LMCompatibilityLevel
Value Type: REG_DWORD - Number
Возможные значения: 0,1,2, по умолчанию - 0

0 - Использовать аутентификацию LM и Windows NT authentication (default).
1 - Использовать аутентификацию Windows NT, иLM - только по запросу сервера.
2 - Никогда не использовать аутентификацию LM.

В последнем случае невозможно соединение с Windows'95 и Windows for Workgroups

lsa-fix Устраняет ошибку доступа в Lsass.exe, возникающую при передаче неправильного размера буфера удаленным клиентом при соединении с LSA (Local Security Authority) через именованный канал (named pipe).
ndis-fix Устраняет ошибку, вызывающую утечку памяти и синий экран с сообщением о неверной команде в ndis.sys при использовании промежуточных драйверов NDIS.
oob-fix Посылка "Out of Band" - данных в 139-й порт приводила к зависанию или перезагрузки системы (Атака WinNuke). Первоначальный вариант исправления, включенный в SP3, не решил все проблемы. Включен в состав icmp-fix.
scsi-fix Устранение ошибок при работе с системами защиты от сбоев (Fault Tolerant Systems)
simptcp-fix Атака Denial of Service, состоящая в посылке большого количества UDP-дейтаграмм с ложного адреса на 19-й порт, при установленных Simple TCP/IP services, приводила к повышенному UDP-траффику.
winsupd-fix Исправление ошибки в WINS, приводящей к его завершению при получении неверных пакетов UDP
zip-fix Устранение проблем с ATAPI-версией Iomega ZIP


<== Back to main page