Удаление, повреждение и отказ в доступе к данным
Уязвимые места, зависящие от платформы
В дополнение к общим уязвимым местам каждая вычислительная платформа имеет свой собственный уникальный набор уязвимых мест. Из-за своей широкой популярности Windows 2000 и IIS подвергаются более частым атакам, и их уязвимые места представляют большую опасность. Далее мы расскажем обо всех уязвимых местах, известных на момент написания книги. Все они устраняются с помощью установки Microsoft Service Pack 2 для Windows 2000, однако появляются новые опасности, поэтому регулярно проверяйте перечень уязвимых мест на веб-сайте SANS по адресу http://www.sans.org/top20.htm.
Угроза универсального кода Unicode (прохождение папок веб-сервера)
Универсальный код Unicode представляет собой производственный стандарт программного обеспечения, облегчающий адаптацию программных продуктов для различных операционных систем и переводящий содержимое веб-сайта (программы) на различные языки. В данном стандарте каждому символу присвоен уникальный номер независимо от платформы, программы или языка. Стандарт Unicode одобрен большинством производителей программного обеспечения, включая Microsoft, а исходный код Unicode является частью Windows 2000 и IIS.
Использование стандарта Unicode в продуктах Microsoft послужило причиной возникновения уязвимого места. Отправив на сервер IIS особым образом написанный адреса URL, содержащий некорректную последовательность Unicode UTF-8, злоумышленник может вызвать беспорядочный проход системы по каталогам и выполнение случайных сценариев. Эта атака также известна под названием атаки на прохождение каталогов (directory traversal attack). Если хакер осуществит эту атаку, то сможет запустить свою собственную программу, внедренную на сервер.
Переполнение буфера
В Windows 2000 и IIS обнаружено большое число уязвимых мест, через которые осуществляются атаки на переполнение буфера. "Прорехи" в защите также позволяют проводить атаки, вызывающие сбой в работе веб-сервера IIS, выполнение произвольного кода, использование целевого веб-сервера в качестве инструмента для атаки на стороннюю систему. Ниже приведен краткий обзор таких уязвимых мест.
- При установке IIS инсталлируются некоторые дополнения для Internet Services Application Programming Interface (ISAPI) (Интерфейс прикладного программирования интернет-сервера), позволяющие расширять возможности IIS при помощи динамически подсоединяемых библиотек (DLL). Выявлено, что некоторые DLL-библиотеки (например, idq.dll) содержат ошибки программирования, позволяющие проводить атаки на переполнение буфера и получать полный контроль над веб-сервером IIS. В Windows 2000 файл с именем idq.dll определен как уязвимое место, позволяющее произвести переполнение буфера в Microsoft Index Server 2.0 (Сервер индексов) и Indexing Service (Служба индексации). Переполнение буфера возможно на Windows 2000 Server, Advanced Server и Server Data Center Edition с установленным компонентом IIS 5.0. Уязвимая библиотека DLL имеется и в Windows 2000 Professional, но не устанавливается по умолчанию.
- Устанавливаемое вместе с IIS 5.0 расширение ASP ISAPI допускает переполнение буфера. С его помощью удаленный взломщик может вызвать сбой сервера или, при соответствующей настройке, выполнить любой код, выбранный им самим. В установках по умолчанию код будет выполняться с привилегиями IWAM_ machinename, присущими локальному непривилегированному пользователю (он также называется гостевой учетной записью интернета, о которой пойдет речь в "Учетные записи, аутентификация и политика безопасности" ).
- Вторая возможность переполнения буфера выявлена в механизме передачи данных ASP ISAPI. Оно приводит к таким же последствиям, как и первая, и так же влияет на приложение IIS Web Server.
- Третья возможность переполнения буфера заключается в способе проверки безопасности разделителей перед анализом полей заголовков HTTP в IIS 5.0 и 5.1. Возможно прослушивание этой проверки с выдачей информации о существовании корректных разделителей, в то время как на самом деле их не существует. Таким образом, удаленный взломщик может отправить на сервер специальный HTTP-запрос, который вызовет переполнение свободных буферов. В случае успеха это вызовет сбой в работе сервера или выполнение произвольного кода. В конфигурации по умолчанию IIS 5.0 и 5.1 код выполнится с привилегиями, соответствующими IWAM_ machinename.
- Уязвимое место возникает при проверке корректности имени файла и его размера на сервере. С помощью особого пользовательского запроса удаленный злоумышленник может инициировать принятие слишком длинного имени файла, избежать проверки безопасности и переполнить статический буфер, что вызовет отказ в обслуживании или выполнение произвольного кода с привилегиями IWAM_ machinename на атакуемом сервере.
- Уязвимое место имеется в компоненте IIS 5.0, поддерживающем входящие запросы .htr. При инсталляции IIS по умолчанию устанавливается расширение HTR ISAPI, представляющее собой программный интерфейс приложения для работы со сценариями. Функцией HTR ISAPI является обработка паролей пользователей на базе сети. С помощью нескольких особым образом созданных файловых запросов .htr удаленный злоумышленник может вызвать переполнение буфера и выполнить произвольный код на атакуемой системе. Эта атака вызовет отказ в обслуживании или, в некоторых случаях, позволит ему получить привилегии IWAM_ machinename на атакуемом сервере.
- Отказ в обслуживании (DoS) может вызвать уязвимое место, содержащееся в методе поддержки ошибок некоторых фильтров ISAPI. Посредством отправки запроса URL, превышающего установленную в фильтре ISAPI длину буфера, злоумышленник может вызвать нарушение доступа в службах IIS.
- В IIS имеется уязвимое место, возникающее при работе служб IIS. Посредством определенного запроса о состоянии создается условие для возникновения ошибки, в результате чего нарушается доступ в службе FTP и службах сети. Это произойдет только в том случае, если на веб-сервере включены службы FTP.
- Веб-серверы IIS подвержены трем отдельным угрозам действия межсайтовых сценариев (Cross-Site Scripting, CSS). CSS представляет собой пассивную атаку, основанную на социальном инжиниринге. Она выполнится, если злоумышленник уговорит пользователя посетить веб-страницу и перейти по соответствующей ссылке, осуществляющей злоумышленные действия атакующего, или открыть вредоносное сообщение электронной почты в формате HTML. CSS позволяетразместить вредоносный код внутри веб-запроса, отправляемого с компьютера пользователя и передаваемого на сторонний веб-сайт. Вредоносный код запускается и выполняется с настройками безопасности и в зоне безопасности, применяемой к стороннему веб-сайту. Такие действия позволят злоумышленнику получить данные с веб-сайта, если иначе это сделать невозможно.
NetBIOS: незащищенные общие сетевые ресурсы Windows
Возможность File Sharing (Общий доступ к файлам), имеющаяся в Windows, позволяет открывать общий доступ к файлам в сети. File Sharing не защищен от доступа из интернета и представляет возможность несанкционированного доступа к системным файлам или ко всей файловой системе.
File Sharing использует протокол Server Message Block (SMB) (Блок серверных сообщений), позволяющий применить общий доступ к файлам Windows для получения секретной информации о системе, т.е. данных о пользователях и группах (имена пользователей, даты последнего входа, политика паролей, информация о сервисе удаленного доступа), данных о системе и ключах реестра. Доступ выполняется через соединение NULL-сеанса ("недействительного сеанса") со службой NetBIOS Session Service. Данная информация очень важна для хакеров при угадывании паролей или при осуществлении атак "грубой силы" на систему Windows.
Утечка информации через соединения недействительной сессии
В системах Windows NT и Windows 2000 многие локальные службы работают в учетной записи SYSTEM или LocalSystem (для Windows 2000). Эта учетная запись используется в критических системных операциях. При получении одним компьютером системных данных с другого компьютера учетная запись SYSTEM открывает недействительную сессию соединения для этого компьютера.
Учетная запись SYSTEM имеет неограниченные привилегии и не требует пароля при доступе, поэтому пользователь не сможет войти в систему под этой учетной записью. Учетной записи SYSTEM иногда требуется доступ к информации, расположенной на других компьютерах и представляющей собой общие файлы SMB, имена пользователей и т.д. Так как она не может войти в систему с помощью идентификатора пользователя и пароля, то использует для получения доступа недействительный сеанс соединения. К сожалению, с помощью недействительного сеанса осуществляют вход в систему и злоумышленники. Это относится как к Windows 2000, так и к Windows NT.
Уязвимость зашифрованных паролей в Security Accounts Manager (SAM)
Несмотря на то, что большинству пользователей Windows не требуется поддержка LAN Manager (Диспетчер локальной сети), в системах Windows NT и Windows 2000 в SAM (Диспетчер безопасности учетных записей) наряду с другими паролями по умолчанию хранятся зашифрованные пароли LAN Manager. Так как LAN Manager использует более уязвимую схему шифрования, чем остальные продукты Microsoft, пароли LAN Manager можно взломать за относительно короткий промежуток времени. Даже пароли, зашифрованные с помощью мощных алгоритмов, взламываются менее чем за месяц.
Уязвимость паролей в LAN Manager заключается в том, что пароли всегда дополняются или урезаются до 14 символов и разбиваются на два семисимвольных отрезка; эта схема и упрощает их взлом. Программе по взлому паролей нужно взломать только два семисимвольных пароля даже без проверки символов нижнего регистра. LAN Manager уязвим и к перехвату зашифрованных паролей. Это относится как к Microsoft Windows NT, так и к Windows 2000.
Важно. Не откладывайте установку обновлений Microsoft Service Pack и Security Update, которые устраняют эти уязвимые места, если действующий веб-сайт от них не защищен. Перечень уязвимых мест открыт для общего пользования, поэтому можно предположить, что хакеры изучили его и имеют дополнительную информацию, доступную в хакерских кругах. Не позволяйте хакерам опережать вас!