Уязвимость Windows 2000
Уязвимость Windows 2000
Осенью 1999 года компания Microsoft открыла доступ через Internet к нескольким тестовым серверам с бета-версией операционной системы Windows 2000 Server на узле Windows2000test.com, предлагая всем желающим попытаться взломать этот программный продукт.Предварительный сбор данных
Как упоминаюсь в главе 1, большинство злоумышленников стараются получить максимум информации, не обращаясь напрямую к интересующему их серверу. Основным источником для предварительного сбора информации является система доменных имен DNS (Domain Name System) – стандартный протокол Internet, обеспечивающий преобразование IP-адресов и осмысленных имен типа www.hackingexposed.com.Сканирование
Операционная система Windows 2000 прослушивает список портов, многие из которых не были задействованы в Windows NT 4 и появились лишь в этой версии операционной системы. В табл. 6.1 приводится список некоторых портов, прослушиваемых по умолчанию контроллером домена Windows 2000.Инвентаризация
В главе 3 было показано, как из операционной системы Windows NT 4.0 можно получить сведения об учетных записях, совместно используемых ресурсах и другую информацию. Было показано, что служба NetBIOS передает эти данные анонимным пользователям, проникающим в систему через злополучный нулевой сеанс.Проникновение. Получение пароля NetBIOS или SMB. Получение хэш-кодов паролей.
Как будет видно из дальнейшего изложения, новая версия операционной системы Windows 2000 подвержена всем тем же типам удаленных атак, что и NT 4. | Получение пароля NetBIOS или SMB | Средства, подобные описанной в главе 5 утилите SMBGrind, пригодны также для получения паролей в системе Windows 2000.Атаки против IIS 5
По возрастающей популярности с атаками на протоколы NetBIOS или 8MB могут сравниться лишь многочисленные методологии атак на IIS (Internet Information Server), поскольку это единственная служба, обязательно присутствующая в подключенных к Internet системах под управлением NT/2000.Удаленное переполнение буфера. Отказ в обслуживании.
В главе 5, рассматривался вопрос переполнения буфера для системы Windows NT. В настоящее время выявлено несколько случаев переполнения буфера приложений, работающих под управлением NT/2000, но не самой операционной системы.Расширение привилегий
Если взломщик смог добраться до учетной записи пользователя в системе Windows 2000, то следующим его желанием станет получение исключительных привилегий – прав администратора. К счастью, операционная система WIN 2000 является более устойчивой, чем ее предшественницы в смысле противостояния таким попыткам (по крайней мере угрозы типа getadmin и sechole ей теперь не страшны).Несанкционированное получение данных. Получение хэш-кодов паролей WIN 2000.
После получения статуса администратора взломщики обычно стараются получить всю информацию, которую можно будет использовать для последующих вторжений. | Хакеры будут счастливы узнать, что хэш-коды диспетчера локальной сети LanManager (LM) хранится в предлагаемом по умолчанию местоположении WIN 2000 для обеспечения совместимости с клиентами других версий (отличными от Windows NT/2000).Шифрование файловой системы
Одним из главных достижений WIN 2000 в области безопасности является шифрование файловой системы. Средство EPS (Encrypting File System) – это система шифрования на основе открытого ключа, предназначенная для кодирования данных на диске в реальном времени и предотвращения несанкционированного доступа к ним.Вторжение на доверительную территорию
Один из основных приемов взломщиков – поиск данных пользователей домена (а не локальной системы). Это позволяет хакерам получить доступ к контроллеру домена и легко обмануть систему безопасности домена.Сокрытие следов. Отключение аудита.
В WIN 2000 применяются в основном те же средства и приемы сокрытия следов, что и в более ранних версиях операционной системы с небольшими отличиями. Приведем их краткое описание.Очистка журнала регистрации событий
В WIN 2000 по-прежнему возможна очистка журнала регистрации событий, однако доступ к журналам осуществляется посредством нового интерфейса. Просмотреть различные журналы событий теперь можно через управляющую консоль Computer Management с помощью элемента System Tools › Event Viewer.Сокрытие файлов
Одной из главных задач хакера после удачного вторжения в систему является надежное сокрытие своего инструментария. В главе 5 обсуждались два способа сокрытия файлов: с помощью команды attrib и файловых потоков.Потайные ходы. Манипуляции в процессе запуска системы.
Последним пунктом программы хакеров является обеспечение возможности повторного проникновения в систему, усыпив бдительность системных администраторов. | Как упоминалось в главе 5, излюбленный прием хакеров – оставить в системе свои исполняемые файлы, которые будут автоматически запускаться при загрузке системы. Такие возможности по-прежнему имеются в системе WIN 2000.Удаленное управление
Все описанные в главе 5 механизмы удаленного управления по-прежнему работают в новой версии операционной системы. Утилита remote из набора NTRK теперь входит в состав средств поддержки WIN 2000 Support Tools (как и многие другие базовые утилиты NTRK).Регистраторы нажатия клавиш. Политика групп.
В WIN 2000 по-прежнему хорошо работают программы, регистрирующие нажатия клавиш, NetBus и Invisible Key Logger Stealth (IKS), описанные в главе 5. | Контрмеры общего назначения: новые средства обеспечения безопасности Windows | В WIN 2000 включены новые средства обеспечения безопасности.