Список форумов KorNet: ДЫРЫ В ВИНДАХ (WIN2000/XP) - Список форумов KorNet

Перейти к содержимому

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

ДЫРЫ В ВИНДАХ (WIN2000/XP) Уязвимости, способы лечения. Оценка: -----

#1 Пользователь офлайн   SCORPION 

  • Администратор форума
  • PipPipPipPip
  • Группа: Мультимодератор
  • Сообщений: 1 495
  • Регистрация: 17 Ноябрь 05
  • Пол:Мужчина

Отправлено 27 Октябрь 2006 - 11:02

ДЫРЫ В ВИНДАХ (WIN2000/XP)

Самыми надежными в плане безопасности из NT-систем на сегодняшний день являются Win2000 и WinXP. Но и в них присутствует множество уязвимостей, существующих еще со времен NT4. Большинство из них живут до сих потому, что, как известно, в Microsoft все делается через одно место (через Билла Гейтса), и по умолчанию система поставляется весьма и весьма плохо сконфигурированной в плане безопасности. Эта ситуация является прямым итогом политики, которую можно охарактеризовать, как "чтобы все работало даже у самого криворукого админа". Поэтому наша задача - устранить эти даже не баги, а скорее недочеты в конфигурации по умолчанию, сделав систему более защищенной.

Рассматривать мы будем Win2k/XP, т.к. они мало чем отличаются друг от друга в плане безопасности, и в дальнейшем под термином WinNT я буду подразумевать именно эти две системы. Также отмечу тот факт, что случаи, когда NT-машина является контроллером домена или иные экзотические ситуации рассматриваться не будут. Считаем, что в нашем подчинении находится обычная рабочая станция, например, в локалке. И наша задача - защитить ее от посягательств других клиентов из локальной сети.

Пароли в NT

Начнем, как водится, со святого - с пользовательских аккаунтов. Любые неприятности начинаются именно здесь. Известно, что в WinNT пароли хранятся в специальном файле SAM (%папка_с_виндой%system32configSAM). Но это не значит, что любой юзер, имеющий учетную запись на нашей машине, сможет его себе скопировать. Во время работы системы доступ к файлу полностью запрещен, даже администратору. Поэтому единственный выход получить доступ к файлу SAM - загрузить на компьютере альтернативную операционку. Локально это не представляет никакого труда. Существует множество "систем на одной дискете", способных читать из раздела NTFS (Trinux, PicoBSD, и т.д.). Но мы говорим о локальной сети, и в этих рамках опасной представляется ситуация, имеющая в народе широкое распространение - наличие на машине связки "Win9x (для игр) + WinNT (для работы)". Очевидно, что получить доступ к SAM-файлу из Win9x можно, только если он лежит на FAT32-разделе. Отсюда вывод - ставить WinNT на FAT-раздел глупо. А в случае наличия на компьютере Win9x вообще недопустимо, ибо вся безопасность NT летит в тартарары. Банально, но факт - очень многие оставляют свежепоставленную NT на FAT'е именно для того, чтобы можно было из 98-й винды обращаться к документам, лежащим на разделе с WinNT. Справедливости ради отмечу, что многие полезные функции NT (квотирование, шифрование файловой системы, и т.д.) работают только на NTFS, и с этой точки зрения установка NT на FAT-раздел выглядит тем более идиотским решением. А мое личное мнение - нужно вообще отказаться от какого-либо использования Win9x.

Многие спросят - а как же тогда работают многочисленные программы для подбора паролей в NT. Дело в том, что дамп паролей хранится не только в файле. Во время работы системы он отображается в реестре, и все программы типа LophtCrack выдирают его именно оттуда. К счастью, к ветке реестра с паролями доступ имеют только юзеры с правами администратора. Казалось бы, беспокоиться не о чем: не ставь на комп вторую операционку, не работай из-под учетной записи админа, и никто до паролей не доберется. Но это не так. Та же L0phtCrack умеет перехватывать передаваемые по сети хэши паролей (работа в режиме снифера), поэтому в сети с логической топологией "общая шина" удаленный доступ к своей машине (например, к принтеру) представляет определенную опасность. Примечание: строго говоря, в NT сами хэши паролей по сети НЕ передаются, но передаются хэши, полученные на основе хэшей паролей. Короче, перехватить данные, на основе которых можно получить пароль пользователя, представляется возможным.
Как же быть? Допустим, что хэши паролей каким-то образом перехвачены (из файла SAM, из реестра, или отснифаны по сети). В таких случаях обычно рекомендуют выбирать надежные пароли длиной не менее семи символов, дабы получивший хэш-код взломщик не смог их расшифровать подбором "в лоб" (bruteforce) за приемлемое время. Но этого мало.

Дело в том, что в WinNT пароли по умолчанию хранятся зашифрованными сразу по двум алгоритмам. Сделано это в целях все той же пресловутой совместимости. Первый алгоритм - так называемый LM-hash, существующий для совместимости с аутентификацией в сетях LanMan, второй - собственный NT'шный, алгоритм NT-hash. LM-алгоритм работает не просто криво, а очень криво. А именно, он разделяет полученный пароль на две части по семь символов каждая (т.е., например, если пароль состоит из десяти символов, то он преобразует его в два слова, из семи и из трех символов соответственно), переводит все символы в верхний регистр, шифрует каждую часть отдельно, и два полученных хэша объединяет вместе, получая тот самый LM-hash. Надо ли говорить, что подбор зашифрованных таким алгоритмом паролей значительно проще (очевидно, что легче расшифровать два пароля из семи и трех символов, чем один из десяти)? И все программы подбора паролей умеют пользоваться этой возможностью, взламывая две половины пароля одновременно.

Учитывая, что многие пароли представляют собой простые слова или сочетания слов, из-за применения в винде LM-hash'а может сложиться ситуация, когда пароль из семи символов надежнее пароля из десяти. Ведь на основании быстро угаданных последних трех символов можно сделать вывод обо всем пароле в целом. А избавиться от недостатка очень легко. Через панель администрирования, оснастку Local Security Policy, в разделе Local Security Settings -> Security Options найти политику "Network Security: LAN Manager authentification level" и изменить дефолтовое значение (Send LM & NTLM responses) на что-то вроде Send NTLM response only (или использовать NTLMv2, если не нужна совместимость или в сети отсутствуют машины на NT4/Win9x).

Удаленный доступ

Поговорим еще про одно святое место сетевой операционной системы: про ресурсы с открытым общим доступом по сети, проще говоря, шары. Кульные хацкеры, как известно, слетаются на них, как мухи на г... на мед smile1.gif. Получение файлов через шары - тема довольно избитая, а вот сбор информации о системе через расшаренные ресурсы обсуждается реже.

По умолчанию WinNT сконфигурирована так, что любой может получить по сети информацию о системе (имена пользователей, групп, общие папки, политику паролей, информацию о сетевых соединениях). Способствуют этому два создаваемых по умолчанию расшаренных ресурса - ADMIN$ и IPC$. Первый служит для обеспечения удаленного управления системой, второй отвечает за межпроцессное взаимодействие по сети для доступа к общим ресурсам (IPC - InterProcess Communication). Убедиться, что они действительно существуют, можно, например, с помощью многофункциональной утилиты net.exe, входящей в стандартную поставку Win2k/XP:

C:>net use 127.0.0.0 ipc$ ""/u:'' (передаем "пустой" аккаунт).

Собственно, сбор информации о системе путем подключения к шаре IPC$ с пустым именем пользователя и пароля получил название нуль-сессии (null-session) - пресловутый способ удаленной инвентаризации WinNT, работающий как в первых версиях NT, так и в последней XP. Наверное, ты слышал уже этот термин. Но слышал ли ты, как сделать свою машину защищенной от этого бага? Дело в том, что полностью отключить эти две шары невозможно. Точнее говоря, возможно, но это будет слишком радикальным шагом, и если доступ к машине по сети все-таки нужен, то сделать необходимо следующее. В редакторе реестра (regedit32.exe) по адресу HKLMSYSTEMCurrentControlSetControlLsa необходимо создать параметр типа REG_DWORD с названием restrictanonymous (он, возможно, уже создан) и присвоить ему значение 1 или 2. Значение 1 запрещает анонимным юзерам просматривать учетные записи и общие ресурсы удаленно (т.е. для защиты от null-session этого достаточно, саму сессию установить по-прежнему можно, но вот получить информацию через нее уже нельзя). Значение 2 вообще отказывает любой неявный доступ к системе. Учитывая, что существуют программы (GetAcct, user2sid, и т.п.), с помощью которых можно собрать информацию даже при параметре restrictanonymous, установленном в 1, советую выставить его значение в 2 (если, разумеется, компьютер не является контроллером домена). При этом машина исчезает из "сетевого окружения" (network neiborhood), но получить доступ к ней по-прежнему можно, обратившись по.ее.ай.пи.

А если тебе вообще не нужны удаленные подключения к системе, то просто отключай "службу сервера" (Server) в оснастке Services панели администрирования или руками в реестре создавай параметр REG_DWORD по адресу HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters с названием AutoShareWks и присваивай ему значение 0. Теперь к тебе никто не пролезет.

Собственно шары

Я уже упомянул, что расшаренные ресурсы является излюбленным местом сосредоточения сил компьютерных хулиганов. Ведь даже при отключенном анонимном сеансе через IPC$ существует возможность просмотреть и получить доступ к шарам путем простого подбора пароля.

Гораздо хуже, когда имеется возможность получить список имен NetBIOS (протокол, служащий для предоставления удаленного доступа к файлам и папкам). В WinNT это делается с помощью стандартной утилиты nbtstat.

Что нам это дает? Можно узнать имя компьютера, домен или рабочую группу, в которую он входит, запущенные в данный момент сервисы. В рамках рабочей станции это не представляет особой угрозы, но с серверов и контроллеров домена можно собрать приличное количество информации.

Учитывая все вышесказанное, ты решил, что шары нам не нужны совсем, и NetBIOS - зло? Отлично, отключаем их, запретив его использование. Для этого в свойствах соединения, во вкладке "свойства протокола TCP/IP" -> "дополнительно" выбираем пункт "отключить NetBIOS через TCP/IP". Затем в тех же "свойствах соединения" убираем галочку у пункта "Доступ к файлам и принтерам сети Microsoft". Это самый радикальный способ обезопасить себя от левых подключений, но помни, что после этого никто не сможет подключиться к твоим расшаренным ресурсам (которых просто не будет). Даже ты не сможешь путешествовать по чужим папкам с общим доступом.

Изменения ты можешь увидеть сразу, набрав до и после отключения в командной строке C:>netstat -a. Три связанных с NetBIOS сервиса отсутствуют. Чем именно каждый из них занимается, ты можешь посмотреть в файле %папка_с_виндой%system32driversetcservices, где описаны все сервисы системы.

Пользовательские аккаунты

Во многих источниках проскакивает информация, что при работе в NT неплохо бы изменить логин администратора (administrator) на что-нибудь менее броское, да и сам Microsoft рекомендует смену имени учетной записи админа как одно из первых действий после установки системы. Теперь-то тебе уже должно быть понятно, для чего такие предосторожности. Есть куча программ (в том числе и упомянутая выше nbtstat), которые могут зафиксировать нахождение пользователя в системе, и если таким пользователем будет Administrator, то это значит, что взломщику нужно будет подбирать только пароль! Поэтому идем в посещенные нами сегодня Local Security Policy -> Security Options, и в политике Rename administratior account задаем свое имя.

Последние штрихи

После того как мы пофиксили очевидные недочеты, наведем финальный лоск. Эти советы ты наверняка мог прочитать во всех статьях по WinNT, но все же...

Во-первых, отключи все ненужные тебе сервисы. Подчеркиваю - все. Если сомневаешься, выстави режим запуска не в Disabled, а в Manual. Просто если данный сервис понадобится, то система предложит его запустить. Все знают о GUI'вой оболочке управления сервисами (Administrative Tools -> Services), но мало кто слышал про консольную, но более продвинутую утилиту sc.exe. В WinXP она включена по умолчанию, а для Win2000 входит в пакет Win2k Resource Kit. С помощью мощной sc.exe можно проворачивать гораздо больше операций. Так, например, узнаешь, что на самом деле степеней запуска сервисов семь, а не три, как показывает утилита Services.
Во-вторых, как ни банально это звучит, позаботься, чтобы на твоей системе стояли все последние хотфиксы и сервиспаки. Правда, недавняя практика установки SP3 на Win2000 показывает, что не все так гладко, и не все то полезно, что лежит на Microsoft TechNet в разделе Downloads, но это скорее исключение из правил. К тому же MS в целях в том числе и заботы о пользователях представил сканер системы на установленные патчи - MS Baseline Security Analyser (и его расширенную консольную версию nshc.exe). Не пренебрегай этими утилитами, благо проверять свою систему на неустановленные модули обновления еще никогда не было так просто. Между делом замечу, что превратиться в еще одну утилиту для хакеров (как случалось с некоторыми программами из Win2k Resource Kit) MBSA, видимо, не суждено. Ведь для того чтобы просканировать систему, нужно иметь на ней права администратора. Впрочем, не забывай и об остальных популярных сканерах безопасности. Напомню, что всевозможные X-Spider'ы, ShadowSecurityScanner'ы, Retina'ы и прочие Nessus'ы создавались как раз для аудита системы, а не для изучения жертвы. Воспользуйся ими и увидишь, насколько уязвима твоя собственная система.

В-третьих, по возможности никогда не выполняй повседневные дела под аккаунтом администратора, пусть и переименованным. В NT распределение полномочий пользователей основано на списках контроля доступа (ACL - Access Control List), определяющих права доступа юзера к папкам/файлам/ключам реестра. Поэтому в случае подсовывания тебе банального трояна и запуске его от имени администратора, права зловредной программы будут также абсолютными. Если понадобится запустить какую-либо программу под админом, используй встроенную службу RunAs (вызывается по нажатию правой кнопкой мыши по экзешнику или из консоли).

В завершение поставь себе хороший персональный фаервол. Без него сейчас никуда. И помни, что 90% "кибертеррористов" ломают не то, что хотят, а то, что ломается легче всего. Твоя система не будет легкой добычей, правда?

hackzona by :::DIESEL:::
0

#2 Пользователь офлайн   SCORPION 

  • Администратор форума
  • PipPipPipPip
  • Группа: Мультимодератор
  • Сообщений: 1 495
  • Регистрация: 17 Ноябрь 05
  • Пол:Мужчина

Отправлено 03 Ноябрь 2006 - 10:42

Хакеры научились отключать брандмауэр в Windows
[ Новые уязвимости ]


Хакеры опубликовали код, позволяющий отключать файрволл Windows XP с последними обновлениями безопасности (минимум 26 дыр, 16 из них - в Microsoft Office и его компонентах), если для интернет-соединения владелец компьютера использует Windows’ Internet Connection Service (ICS), - сообщает PC World.
ICS превращает компьютер в маршрутизатор, позволяя делить интернет-соединение с другими пользователями локальной сети. Вредоносный код отправляется на компьютер, отключает ICS и, следовательно, работающий в связки с ним файервол – место для проникновения расчищено.
Некоторые эксперты уже забеспокоились о том, что простой способ отключения Windows Firewall может привести к распространению новых типов атак. Их оппоненты говорят что да, может, но не приведет: во-первых, чтобы запустить код, взломщику нужно проникнуть в локальную сеть, во-вторых, не так много систем использует в работе ICS (по умолчанию он отключен), в-третьих, атака окажется бессильной, если на компьютере используются несколько файрволлов.
Для защиты от подобной атаки специалисты рекомендуют удостовериться, что ICS отключен. Тем же, кто использует его в работе, рекомендуется завести отдельное устройство для маршрутизации. Впрочем, эта угроза актуальна только для пользователей Windows XP, что усиливает нервозность поклонников этой платформы, ожидающих выхода Windows Vista.
0

#3 Пользователь офлайн   KOM-STAR 

  • МультиМодератор
  • PipPipPipPipPip
  • Группа: Мультимодератор
  • Сообщений: 1 535
  • Регистрация: 21 Октябрь 05
  • Пол:Мужчина
  • Город:Mo[SC]oW
  • Интересы:Люблю кидать камешки в воду и наблюдать за кругами.. :)

Отправлено 05 Декабрь 2006 - 21:54

Российские хакеры используют брешь в Visual Studio 2005 для атак на компьютеры в США

Хакеры нашли новый способ атаковать пользователей ОС Windows. На этот раз перед риском атаки оказались пользователи, установившие на свои компьютеры приложение Visual Studio 2005. Уязвимость в этом программном продукте позволяет хакерам загружать на атакуемую машину троянцев со своих сайтов, созданных специально для распространения вредоносного кода.

«Мы зафиксировали несколько сотен атак с различных IP-адресов в течение прошедших выходных. Хакеры используют уязвимость для установки вредоносных программ на компьютерах американских пользователей», — рассказал эксперт компании TippingPoint Майк Доузен (Mike Dausin). По его словам, все атаки шли с территории России.

Представители Microsoft признали наличие эксплойтов для уязвимости в Visual Studio 2005. Пока остается невыясненным, стала ли атака, упомянутая Доузеном, первым случаем использования указанной уязвимости. Доузен утверждает, что зафиксированные в прошлые выходные атаки — первые, о которых стало известно TippingPoint. Microsoft официально заявила об уязвимости в Visual Studio 2005 31 октября, а в TippingPoint заявляют, что известили о ней разработчиков еще в июне. Между тем, независимый эксперт HD Moore заявляет, что узнал о первой атаке с использованием уязвимости в Visual Studio 2005 еще в июле. Источником HD Moore оказался некий хакер, который в то время уже использовал брешь для установки рекламного программного обеспечения.

Пока непонятно, будет ли брешь в Visual Studio 2005 включена в бюллетень Microsoft от 14 ноября. В набор патчей будут включены 5 обновлений для Windows, некоторые из которых носят критический характер и одно обновление для XML Core Services, также получившее статус критического.

Как и брешь в Visual Studio, уязвимость в XML дает хакерам контроль над компьютерами, работающими в операционной среде Windows, во время визитов на зараженные сайты. Заражение через такие сайты получило название «загрузка drive-by». «Загрузка drive-by происходит, когда вы посещаете сайт и неожиданно получаете на свой компьютер вредоносный код. Для этого вам даже не нужно совершать никаких действий», — рассказал Доузен.


Источник: http://www.n-admin.com/n37-4727.html
0

#4 Пользователь офлайн   SCORPION 

  • Администратор форума
  • PipPipPipPip
  • Группа: Мультимодератор
  • Сообщений: 1 495
  • Регистрация: 17 Ноябрь 05
  • Пол:Мужчина

Отправлено 06 Декабрь 2006 - 14:38

В пиратскую Vista "встраивают" троянов


Во Всемирной сети начали появляться вредоносные программы, замаскированные под утилиты для взлома защиты операционной системы Windows Vista, которую корпорация Microsoft официально представила на прошлой неделе.

Windows Vista в настоящее время доступна только корпоративным заказчикам. Версии программной платформы для домашних пользователей должны поступить в продажу в январе следующего года. Стоимость операционной системы, в зависимости от модификации, составляет до 400 долларов США. Однако многие пользователи, нежелающие платить деньги за ОС, которую в Microsoft называют самой безопасной за всю историю корпорации, пытаются отыскать в интернете крэки для взлома продукта. Впрочем, зачастую вместо желанной утилиты, как отмечают обозреватели сайта Slashdot, недобросовестные пользователи загружают на свои компьютеры троянские или шпионские модули.

Примечательно, что новая система установки, реализованная в Windows Vista, фактически облегчает для злоумышленников распространение вредоносного программного обеспечения. Дело в том, что процесс инсталляции, основанный на использовании образа, позволяет параллельно с операционной системой устанавливать сопутствующие приложения. Данная функция должна облегчить работу системных администраторов крупных компаний, которые вместе с Windows Vista смогут распространять корпоративные приложения. С другой стороны, киберпреступники получают возможность внедрять в пиратские версии операционной системы любые вредоносные программы с целью последующего захвата контроля над компьютером жертвы.



soft.compulenta.ru
0

#5 Пользователь офлайн   KOM-STAR 

  • МультиМодератор
  • PipPipPipPipPip
  • Группа: Мультимодератор
  • Сообщений: 1 535
  • Регистрация: 21 Октябрь 05
  • Пол:Мужчина
  • Город:Mo[SC]oW
  • Интересы:Люблю кидать камешки в воду и наблюдать за кругами.. :)

Отправлено 06 Декабрь 2006 - 19:25

Новую модификацию компьютерного вируса Sober - Sober.R зафиксировали в Интернете сотрудники антивирусной лаборатории Panda Software. По их данным, червь проникает в компьютер, используя методы социальной инженерии.

В частности, для распространения он использует два вида писем: первое - сообщение на английском языке с темой "Ваш новый пароль". Письмо замаскировано под уведомление об изменении пароля, содержащее во вложенном файле данные для ознакомления - pword_change.zip. Во втором случае это письмо на немецком, якобы с фотографиями старых школьных друзей в файле KlassenFoto.zip. Оба сжатых файла включают в себя исполняемый файл PW_Klass.Pic.packed-bitmap.exe, который и является копией самого червя.

Если про англоязычный вариант вируса специалисты говорят, что он менее убедительный, так как люди стали в последнее время с подозрением относиться к сообщениям, в которых им предлагается узнать их новый пароль, то немецкий вызывает у программистов определенные опасения. Его автор использует психологическую ловушку, заставляя открывать интересную "картинку". Дело в том, что ничего не подозревающий пользователь получает послание якобы от его бывшего одноклассника, с надписью: "Я приложил к письму нашу старую фотографию класса. Если вы найдете там себя, пожалуйста, ответьте на письмо". После открытия файла вирус попадает в компьютер и выводит ложное сообщение об ошибке CRC. Далее он ищет электронные адреса на зараженном компьютере в файлах с определенными расширениями и, используя собственный SMTP-механизм, рассылает себя по ним. В случае, если адрес оканчивается на .de (Германия), .ch (Швейцария), .at (Австрия) или .li (Лихтенштейн), он отправляет немецкую версию письма.

По словам директора антивирусной лаборатории PandaLabs Луиса Корронса, "черви Sober всегда могли похвастаться своей способностью к распространению, и новая версия не является исключением. Вероятно, тому причиной является то, что она использует методы социальной инженерии, убеждая пользователей запустить зараженные файлы и изменяя язык отправляемого сообщения в зависимости от местоположения получателя".

Перехват червя был осуществлен с помощью превентивной технологии TruPreventTM. И теперь, в связи с резким увеличением числа инцидентов, вызванных новым Sober.R, компания Panda Software предоставляет пользователям бесплатный утилит PQRemove, который обнаруживает и уничтожает вирус с любого зараженного компьютера.

Напомним, что различные версии Sober образуют две трети вредоносных программ, циркулирующих на данный момент в Интернете. Первые версии Sober появились еще в 2003 г., но наибольший урон причиняют именно последние его модификации. Особенную опасность Sober представляет для операционных систем семейства Microsoft Windows.

Источник: http://www.hardvision.ru/index.php3?dir=ne...net&id=9919
0

#6 Пользователь офлайн   KOM-STAR 

  • МультиМодератор
  • PipPipPipPipPip
  • Группа: Мультимодератор
  • Сообщений: 1 535
  • Регистрация: 21 Октябрь 05
  • Пол:Мужчина
  • Город:Mo[SC]oW
  • Интересы:Люблю кидать камешки в воду и наблюдать за кругами.. :)

Отправлено 10 Декабрь 2006 - 22:44

Microsoft готовится к выпуску очередных патчей

12 декабря Microsoft планирует выпустить очередную серию исправлений для своих программных продуктов.

Будут опубликованы шесть бюллетеней безопасности, содержащих информацию об уязвимостях в операционных системах Windows различных версий и пакете Microsoft Visual Studio. Максимальный уровень опасности для всех уязвимостей Microsoft охарактеризовала как критический.

Вместе с патчами для Windows и Visual Studio компания Microsoft представит обновленную версию утилиты Windows Malicious Software Removal Tool, предназначенной для выявления наиболее распространенных вредоносных программ. Загрузить заплатки можно будет через встроенные в Windows средства автоматического обновления, службы Windows Update, Microsoft Update, а также через веб-сайт корпорации.

Об исправлениях уязвимостей в Microsoft Word и Windows Media Player ничего не сообщается. Обе уязвимости могут позволить злоумышленнику получить контроль над системой жертвы. В данный момент времени уязвимость в Microsoft Word эксплуатируется двумя троянскими программами.



Источник: http://www.n-admin.com/n37-4780.html
0

Поделиться темой:


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

2 человек читают эту тему
0 пользователей, 2 гостей, 0 скрытых пользователей