awm69.ruНовости

Атаки нулевой сессии и как их избежать

  1. Карта нулевого сеанса
  2. Сбор информации
  3. чистый вид
  4. Конфигурация и информация о пользователе
  5. NetUsers
  6. Контрмеры против нулевых сеансовых хаков
  2. программирование
  3. сетей
  4. Атаки нулевой сессии и как их избежать

    5. От Кевин Бивер

    Хорошо известная уязвимость в Windows может сопоставить анонимное соединение (или нулевой сеанс ) со скрытым общим ресурсом, называемым IPC $ (что означает межпроцессное взаимодействие). Этот метод взлома может быть использован для

    • Соберите информацию о конфигурации хоста Windows, такую ​​как идентификаторы пользователей и имена общих ресурсов.

    • Редактировать части реестра удаленного компьютера.

    Хотя Windows Server 2008, Windows XP, Windows 7 и Windows 8 не разрешают нулевые сеансовые подключения по умолчанию, Windows 2000 Server делает - и (к сожалению) многие из этих систем все еще существуют, чтобы вызвать проблемы в большинстве сетей.

    Карта нулевого сеанса

    Выполните следующие действия для каждого компьютера Windows, с которым вы хотите сопоставить нулевой сеанс:

    1. Отформатируйте базовую команду net следующим образом:

      net use \ host_name_or_IP_addressipc $ "" / user: "

      Команда net для отображения нулевых сеансов требует следующих параметров:

      • net, сопровождаемый командой use

      • IP-адрес или имя хоста системы, с которой вы хотите сопоставить нулевое соединение

      • Пустой пароль и имя пользователя

    2. Нажмите Enter, чтобы установить соединение.

      После сопоставления нулевого сеанса вы должны увидеть сообщение: Команда выполнена успешно.

      После сопоставления нулевого сеанса вы должны увидеть сообщение: Команда выполнена успешно

    Чтобы подтвердить, что сеансы сопоставлены, введите эту команду в командной строке:

    чистое использование

    Вы должны увидеть сопоставления с общим ресурсом IPC $ на каждом компьютере, к которому вы подключены.

    Сбор информации

    При нулевом сеансе соединения вы можете использовать другие утилиты для удаленного сбора критически важной информации Windows. Десятки инструментов могут собрать этот тип информации.

    Вы - как хакер - можете взять вывод этих программ перечисления и попытаться

    Вы можете использовать следующие приложения для перечисления системы для серверных версий Windows до Server 2003, а также для Windows XP.

    чистый вид

    Команда net view показывает общие ресурсы, доступные хосту Windows. Вы можете использовать выходные данные этой программы, чтобы увидеть информацию о том, что сервер сообщает миру, и что можно с этим сделать, включая следующее:

    • Обмен информацией, которую хакер может использовать для атаки на ваши системы, например, сопоставление дисков и взлом паролей.

    • Разрешения общего ресурса, которые, возможно, потребуется удалить, например разрешение для группы «Все», чтобы хотя бы просмотреть общий ресурс в более старых системах под управлением Windows 2000.

    Конфигурация и информация о пользователе

    Winfo а также DumpSec может собрать полезную информацию о пользователях и конфигурациях, таких как

    Ваше предпочтение может зависеть от того, любите ли вы графический интерфейс или командную строку. Winfo - это инструмент командной строки. Ниже приведена сокращенная версия вывода Winfo сервера Windows NT, но вы можете собрать ту же информацию из других систем Windows:

    Winfo 2.0 - авторское право (c) 1999-2003, Арне Видстрем - http://www.ntsecurity.nu/toolbox/winfo/ ИНФОРМАЦИЯ О СИСТЕМЕ: - Версия ОС: 4.0 ПОЛИТИКА ПАРОЛЯ: - Время между окончанием времени входа в систему и принудительным выходом из системы: Нет принудительного выхода из системы - Максимальный срок действия пароля: 42 дня - Минимальный срок действия пароля: 0 дней - Длина истории паролей: 0 паролей - Минимальная длина пароля: 0 символов УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ: * Администратор (эта учетная запись является встроенной учетной записью администратора) * doctorx * Гость (эта учетная запись является встроенной учетной записью гостя) * IUSR_WINNT * kbeaver * nikki АКЦИИ: * ADMIN $ - тип: специальный ресурс, зарезервированный для IPC или административного ресурса * IPC $ - тип: неизвестен * здесь2Bhacked - тип: дисковод * C $ - Тип: Специальный ресурс, зарезервированный для IPC или административного ресурса * Финансы - Тип: Дисковод * HR - Тип: Дисковод

    Эта информация не может быть получена из установки по умолчанию Windows Server 2003, Windows XP, Windows 7 или Windows 8.

    Вы можете просмотреть вывод таких инструментов для идентификаторов пользователей, которые не принадлежат вашей системе, таких как

    NetUsers

    Инструмент NetUsers может показать, кто вошел в систему на удаленном компьютере Windows. Вы можете увидеть такую ​​информацию как

    Эта информация может помочь вам в целях аудита определить, кто входит в систему. К сожалению, эта информация может быть полезна для хакеров, когда они пытаются выяснить, какие идентификаторы пользователей доступны для взлома.

    Контрмеры против нулевых сеансовых хаков

    Если это имеет смысл для бизнеса и подходит время, перейдите на более безопасную Windows Server 2012 или Windows 7. У них нет уязвимостей, описанных в следующем списке.

    Вы можете легко предотвратить взлом соединений с нулевым сеансом, применив одну или несколько из следующих мер безопасности:

    • Заблокируйте NetBIOS на вашем сервере Windows, не давая этим портам TCP проходить через сетевой брандмауэр или персональный брандмауэр:

    • Отключите общий доступ к файлам и принтерам для сетей Microsoft на вкладке «Свойства» сетевого подключения аппарата для тех систем, которые в нем не нуждаются.

    • Ограничить анонимные подключения к системе. Для систем Windows NT и Windows 2000 вы можете установить для HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous значение DWORD следующим образом:

      • Нет: это настройка по умолчанию.

      • Положитесь на разрешения по умолчанию (настройка 0) : этот параметр разрешает нулевые сеансы по умолчанию.

      • Не разрешать перечисление учетных записей и общих ресурсов SAM (настройка 1): это настройка среднего уровня безопасности. Этот параметр по-прежнему позволяет сопоставлять нулевые сеансы с IPC $, позволяя таким инструментам, как Walksam, получать информацию из системы.

      • Нет доступа без явных анонимных разрешений (параметр 2). Этот параметр высокой степени безопасности предотвращает нулевые сеансовые соединения и системное перечисление.

    В статье 246261 базы знаний Майкрософт приведены предостережения относительно использования параметра высокой безопасности для RestrictAnonymous. Он доступен в Интернете по адресу http://support.microsoft.com/default.aspx?scid=KB;en-us;246261 ,

    scid=KB;en-us;246261 ,

Aspx?