Windows NT -
проблемы
безопасности
Цель этой
статьи -
освещение
некоторых
проблем
безопасности
Windows NT и
способов их
устранения.
Была
использована
информация
из
следующих
источников:
Троянская
конница
Дистрибутивы
NTWS4.0 и NTS4.0
включают
утилиту rollback.exe,
предназначенную
для
настройки
пользователями
предустановленной
системы. Ее
запуск
приводит к
очистке
реестра (без
предупреждения)
и возврату
к концу Character Based Setup (часть
установки
до
появления GUI).
Запуск ее
из-под
рабочей
системы
приводит к
тем же
невеселым
последстиям
(потеря
аккаунтов,
настроек
протоколов,
пользовательских
настроек и
т.п.). Найти ее
можно на CD-ROM с NT
в каталоге
Support\Deptools\<system>\
Подробности:
http://support.microsoft.com/support/kb/articles/Q149/2/83.asp
Каталоги
%systemroot% и %systemroot%\system32
имеют по
умолчанию
право
доступа Change
для Everyone. Это
может
привести к
самым
разнообразным
последствиям
типа
замещения
части
системных dll
"троянскими"
и т.п. При
этом они
могут быть
вызваны из
самых
разных
программ - в
том числе,
из программ,
работающих
с
системными
правами
доступа.
Для защиты
достаточно
грамотно
установить
права
доступа.
Кстати,
программа DumpAcl
позволяет
вывести
права
доступа для
различных
объектов -
файлов,
реестра,
принтеров и
т.п. в общий
список,
удобный для
просмотра.
В реестре
есть ключ
<HKLM\SYSTEM\CurrentControlSet\Control\Lsa>
со значением
<Notification
Packages: REG_MULTI_SZ: FPNWCLNT>
Эта DLL
существует
в сетях,
связанных с
Netware. Поддельная
FPNWCLNT.DLL в
каталоге
%systemroot%\system32 вполне
может
проследить
все пароли.
После
копирования
и
перезагрузки
все
изменения
паролей и
создание
новых
пользователей
будут
отслеживаться
этой dll и
записываться
(открытым
текстом) в
файл c:\temp\pdwchange.out.
Для защиты
достаточно
удалить
этот ключ и
защитить
эту часть
реестра от
записи.
Испольняемые
файлы могут
быть
переименованы
в файлы с
любым
расширением
(или без
расширения),
но они все
равно
запустятся
из
командной
строки (например,
переименуйте
notepad.exe в notepad.doc и
запустите
"start notepad.doc"). Ну и
что,
спросите Вы
? Тогда
попробуйте
представить
процесс
прочтения
файла rollback.exe,
переименованного
в readme.doc. Очень
эффективно.
Большая
часть
реестра
доступна
для записи
группе Everyone.
Это же
относится и
к
удаленному
доступу к
реестру.
Может
оказаться
опасным,
особенно в
сочетании с
автоматическим
импортом reg-файлов.
В реестре NT4.0
появился
ключ
<HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg>
при наличии
которого
доступ к
реестру
отрыт
только
администраторам.
В NT Server этот
ключ
существует
по
умолчанию,
в NTWS может
быть
добавлен.
Подробности:
http://support.microsoft.com/support/kb/articles/Q155/3/63.asp
Проблемы
приложений
В FrontPage 1.1
пользователь
IUSR_* имеет
право
доступа Full Control
к каталогу
_vti_bin и Shtml.exe. Если
взломщик
узнал
пароль IUSR_<hostname> (обычно
достаточно
простой), то
он может
получить
доступ к
каталогу с
исполняемыми
файлами. В FrontPage'97
это
упущение
исправлено.
Подробности:
http://support.microsoft.com/support/kb/articles/Q162/1/44.asp
При
запуске
администратором
в Windows NT 3.51 File Manager из
панели MS Office 7.0,
он получает
доступ к
каталогу,
на который
у него нет
прав
доступа.
Это связано
с тем, что File Manager
наследует
права 'backup and restore permissions'
от панели Office,
которые
используются
Офисом для
записи
пользовательских
настроек в
реестр.
Ошибка
исправлена
начиная с Office7.0a
Подробности:
http://support.microsoft.com/support/kb/articles/Q146/6/04.asp
Служба FTP
позволяет
устанавливать
пассивные
соединения
на основе
адреса
порта,
указанного
клиентом.
Это может
быть
использовано
взломщиком
для выдачи
опасных
команд
службе FTP.
Реестр
содержит
ключ
<HKLM\System\CurrentControlSet\Services\MSFTPSVC\Parameters>
со
значением
<EnablePortAttack: REG_DWORD:
>
Убедитесь,
что
значение
установлено
в '0', а не '1'.
Подробности:
http://support.microsoft.com/support/kb/articles/Q147/6/21.asp
Несанкционированный
доступ
Драйвер ntfsdos.exe
позволяет
читать
раздел с NTFS из
DOS,Windows,Windows'95. Права
доступа при
этом
игнорируются.
Авторами
был обещан
вариант
драйвера с
возможностью
записи.
Аналогичный
драйвер (read only)
существует
для Linux: http://www.informatik.hu-berlin.de/~loewis/ntfs/
Один из
популярных
методов
проникновения
в систему -
подбор
пароля. Для
борьбы с
этим обычно
устанавливают
блокировку
учетной
записи
пользователя
после
определенного
числа
неудачных
попыток
входа.
Приятным
исключением
является
учетная
запись
администратора.
И если он
имеет право
доступа на
вход через
сеть, это
открывает
лазейку для
спокойного
угадывания
пароля.
Для защиты
рекомендуется
переименовать
пользователя
Administrator,
установить
блокировку
учетных
записей,
запретить
админитратору
вход в
систему
через сеть,
запретить
передачу SMB
пакетов
через TCP/IP (порты
137,138,139),
установить
протоколирование
неудачных
входов.
Подробности:
http://somarsoft.com/ntcrack.htm
Еще один
способ -
перехват
проходящей
по сети
информации.
Подробности:
Проблемы
IIS
Пользователь
Anonymous может
получить в IIS
права
пользователей
домена при
установке IIS
на
контроллер
домена (PDC)
Подробности:
http://www.microsoft.com/kb/articles/q147/6/91.htm
Internet Information Server 1.0 (IIS)
допускает
использование
batch-файлов в
качестве CGI-прилложений.
Это весьма
опасно,
поскольку batch-файлы
выполняются
в контексте
командного
процессора
(cmd.exe).
Подробности:
http://www.microsoft.com/kb/articles/q155/0/56.htm
http://www.microsoft.com/kb/articles/Q148/1/88.htm
http://www.omna.com/iis-bug.htm
В IIS 1.0 адрес
типа 'http://www.domain.com/..\.."
позволяет
просматривать
и скачивать
файлы вне
корневого
каталога web-сервера.
Адрес
'http://www.domain.com/scripts..\..\scriptname" позволяет
выполнить
указанный
скрипт.
По
умолчанию
пользователь
Guest или IUSR_WWW
имеет права
на чтение
всех файлов
во всех
каталогач.
Так что эти
файлы могут
быть
просмотрены,
скачаны и
запущены.
Адрес "http://www.domain.com/scripts/exploit.bat>PATH\target.bat"
создаст
файл 'target.bat'. Если
файл
существует,
он будет
обрезан.
К тем же
последствиям
приведет
адрес
"http://www.domain.com/scripts/script_name%0A%0D>PATH\target.bat".
Подробности:
http://www.omna.com/iis-bug.htm
Если
соединиться
через telnet с
портом 80,
команда "GET ../.."
<cr> приведет
к краху IIS и
сообщению "The application, exe\inetinfo.dbg, generated an application error
The error occurred on date@ time The exception generated was c0000005
at address 53984655 (TCP_AUTHENT::TCP_AUTHENT"
Атаки
типа
Denial of Service
Ping of Death
Фрагментированный
ICMP-пакет
большого
размера
может
привести к
зависанию
системы.
Так,
команда PING -l 65527
-s 1 hostname на NT 3.51
приведет к "синему
экрану" с
сообщением.
STOP:
0X0000001E
KMODE_EXCEPTION_NOT_HANDLED - TCPIP.SYS
-ИЛИ-
STOP: 0x0000000A
IRQL_NOT_LESS_OR_EQUAL - TCPIP.SYS
Подробности:
http://www.microsoft.com/kb/articles/q132/4/70.htm
Исправление:
3-й
Service Pack c
последующей
установкой ICMP-fix
SYN-атака.
Послав
большое
количество
запросов на
TCP-соединение
(SYN) с
недоступным
обратным
адресом,
получим
следующий
результат:
При
получении
запроса
система
выделяет
ресурсы для
нового
соединения,
после чего
пытается
ответить на
запрос (послать
"SYN-ACK") по
недоступному
адресу. По
умолчанию NT
версий 3.5-4.0
будет
пытаться
повторить
подтверждение
5 раз - через 3, 6, 12,
24 и 48 секунд.
После этого
еще 96 секунд
система
может
ожидать
ответ, и
только
после этого
освободит
ресурсы,
выделенные
для
будущего
соединения.
Общее время
занятости
ресурсов - 189
секунд.
Подробности:
http://www.microsoft.com/kb/articles/q142/6/41.htm
Исправление:
3-й
Service Pack
WinNuke
Посылка
данных в 139-й
порт
приводит к
перезагрузке
NT 4.0, либо
вывод "синего
экрана
смерти" с
установленным
2-м Service Pack'ом.
Исправление:
3-й
Service Pack c
последующей
установкой OOB
fix. Это
исправление
включено
также в ICMP-fix.
Аналогичная
посылка
данных в 135 и
некоторые
другие
порты
приводит к
значительной
загрузке
процессора
RPCSS.EXE. На NTWS это
приводит к
существенному
замедлению
работы, NTS
практически
замораживается.
Исправление:
3-й
Service Pack
Service Pack 3
Многие
проблемы
безопасности
NT4.0 были
устранены в
3-м
Service Pack'е.
Список
исправлений
весьма
внушителен.
В первую
очередь это
атаки типа Denial
of Service - WinNuke, ошибка
со 135-м портом,
перехват
сообщений SMB
("man-in-the-middle attack") и т.д.
Настоятельно
рекомендуется
установить
SP3, если Вас
волнует
вопрос
безопасности
Вашей
системы. С
момента
выхода SP3
вышло еще
несколько
обновлений
(hot-fixes),
доступных
на
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3.
asp-fix
|
Устранение
проблем
производительности
с Active Server Pages 1.0b,
установленных
на IIS3.0
|
dblclick-fix
|
Некоторые
программы (например,
Visio Professional 4.x) после
установки
SP3 стали
реагировать
на двойной
щелчок
мыши как на
одинарный.
Включен в
состав getadmin-fix.
|
dns-fix
|
Устраняет
некоторые
проблемы,
связанные
с сервером
DNS
|
getadmin-fix
|
Решает
проблему,
связанную
с
программой
getadmin.exe, которая
позволяла
пользователям
(кроме Guest)
добавить
себя в
группу Administrators
локальной
машины.
Также
включает dblclick-fix
и java-fix.
|
icmp-fix
|
Решение
проблем с
зависанием
системы
при
получении
фрагментированного
ICMP-пакета
большого
размера.
Включает
также oob-fix.
|
iis-fix
|
Остановка
IIS 2.0 и3.0 при
получении
большлго CGI-запроса
(от 4 до 8k)
|
java-fix
|
Зависание
IE3.02 при
открытии
страниц с Java
после
установки
SP3. Включен в
состав getadmin-fix.
|
lm-fix
|
Позволяет
отключить
аутентификацию
Lan Manager
(LM). Добавляет
в реестр
новый
параметр к
следующему
ключу: HKLM\System\CurrentControlSet\control\LSA
Value: LMCompatibilityLevel
Value Type: REG_DWORD - Number
Возможные
значения: 0,1,2,
по
умолчанию -
0
0 -
Использовать
аутентификацию
LM и Windows NT authentication (default).
1 -
Использовать
аутентификацию
Windows NT, иLM - только
по запросу
сервера.
2 - Никогда
не
использовать
аутентификацию
LM.
В
последнем
случае
невозможно
соединение
с Windows'95 и Windows for Workgroups
|
lsa-fix
|
Устраняет
ошибку
доступа в
Lsass.exe,
возникающую
при
передаче
неправильного
размера
буфера
удаленным
клиентом
при
соединении
с LSA (Local Security Authority)
через
именованный
канал (named pipe).
|
ndis-fix
|
Устраняет
ошибку,
вызывающую
утечку
памяти и
синий
экран с
сообщением
о неверной
команде в ndis.sys
при
использовании
промежуточных
драйверов
NDIS.
|
oob-fix
|
Посылка
"Out of Band" -
данных в 139-й
порт
приводила
к
зависанию
или
перезагрузки
системы (Атака
WinNuke).
Первоначальный
вариант
исправления,
включенный
в SP3, не решил
все
проблемы.
Включен в
состав icmp-fix.
|
scsi-fix
|
Устранение
ошибок при
работе с
системами
защиты от
сбоев (Fault Tolerant Systems)
|
simptcp-fix
|
Атака
Denial of Service,
состоящая
в посылке
большого
количества
UDP-дейтаграмм
с ложного
адреса на 19-й
порт, при
установленных
Simple TCP/IP services,
приводила
к
повышенному
UDP-траффику.
|
winsupd-fix
|
Исправление
ошибки в WINS,
приводящей
к его
завершению
при
получении
неверных
пакетов UDP
|
zip-fix
|
Устранение
проблем с ATAPI-версией
Iomega ZIP
|
Назад
|