Защита от атак на базовые функции ОС Windows NTЗащита от атак
Атака OOB Выполняется на порт 139 (NetBIOS). В случае доступности сервиса на атакуемый компьютер посылается сообщение, задаваемое злоумышленником. При этом используется режим передачи Out-of-Band, то есть вне очереди, с высоким приоритетом. При получении пакета указанного типа с установленным флагом Urgent система ставит маркер на входной поток данных, ожидая получения следующего фрагмента сообщения. Последствия атаки зависят от версии программного обеспечения, конфигурации ceтевых протоколов и т.д. и вызывают либо крах системы с ошибкой A Stop ОхОА в модуле Tcpip.sys, либо отказ в сетевом информационном обмене. Атака GetAdmin В сети Интернет была распространена утилита GetAdmin, которая предоставляла обычным пользователям права администратора системы путем включения идентификаторов пользователей в группу Administrators. GetAdmin использовала уязвимость одной из низкоуровневых функций, которая не проверяет свои параметры, что позволяет передать при ее вызове значения, отключающие контроль привилегий отладчика. Это дает возможность подключаться к любому процессу, запущенному в системе, и, в свою очередь, запускать подпроцесс в контексте безопасности данного процесса. Утилита GetAdmin подключалась к процессу WinLogon, который работает в контексте безопассти системы, и, используя стандартные функции, добавляла необходимого пользователя в группу Administrators. В результате осуществлялось несанкционированное наделение легального пользователя правами администратора системы, что приводило к возможности несанкционированного доступа под именем администратора. Атака Ssping/Jolt Атака, названная по имени реализующих программ, состоит в посылке нескольких дефрагментированных пакетов IСМР (IСМР_ЕСНО) больших размеров по частям. ОС Windows NT, пытаясь ать пакет, зависает, что может привести к нарушению целостности данных. Атака действует аналогичным образом на ранние реализации POSIX и SYSV. Атака на службы Simple TCP/IP Злоумышленник посылает поток дейтаграмм UDP по широковещательному адресу подсети, в которой находится компьютер Windows NT с установленными службами Simple TCP/IP. Исходный адрес таких пакетов подделан, в качестве порта назначения указан порт 19 (сервис chargen). Компьютер Windows NT отвечает на каждый такой запрос, вызывая лавину дейтаграмм UDP. Это приводит к существенному увеличению трафика подсети и лишает легальные службы возможности информационного обмена. Атака LAND Названа по имени распространенной в сети Интернет реализации. Заключается в посылке пакетов TCP с флагом SYN (инициа- лизация соединения), в которых исходный адрес и порт равны адресу и порту назначения. Вследствие этого происходит "зацикливание" информационных пакетов с установленным флагом АСК: атакуемый компьютер посылает сам себе большое количество пакетов. Это приводит к существенной потере вычислительных ресурсов, а в ряде случаев и к аварийному завершению Windows NT. Атака TEARDROP Названа по имени распространенной в сети Интернет реализации. Состоит в отправке специально созданных пар фрагментированных IP- пакетов, которые после приема собираются в некорректную дейтаграмму UDP. Перекрывающиеся смещения вызывают перезапись данных в середине заголовка UDP-дейтаграммы, содержащегося в первом пакете, вторым пакетом. В результате образуется незаконченная дейтаграмма, размещаемая в области памяти ядра Windows NT. Получение и обработка большого количества таких пар пакетов приводят к аварийному завершению Windows NT с сообщением STOP ОхОА. Атака Denial of Service По протоколу SMB посылается запрос на подключение к серверу Windows NT с указанием неверного размера последующих данных. Обработка сервером такого запроса приводит к аварийному завершению системы с выдачей сообщения STOP ОхОА (STOP 0х00000050) или к ее зависанию. Атака SECHOLE Свое название получила по имени распространенной в сети Интернет программы. Аналогична атаке GetAdmin с той разницей, что для получения привилегий отладки использует интерфейсную функцию OpenProcess. В результате легальный пользователь несанкционированно наделяется правами администратора. Атака ICMP Request Заключается в посылке пакета 1СМР Subnet Mask Address Request по адресу сетевого интерфейса, сконфигурированного на использование нескольких IP-адресов, принадлежащих одной подсети. Система Windows NT аварийно завершается с подачей сообщения STOP STOP ОхОА (ОхАООЗЗ, 0х00000002, 0х00000000, Oxf381329B), где четвертый параметр относится к области памяти модуля Tcpip.sys. Атака прослушивания портов Представляет собой специальные действия, при которых приложение или служба Windo.wsNT может получать доступ к информации, передаваемой и получаемой на некоторые порты по протоколам TCP и LJDP. "Прослушивание" портов, открытых другими приложениями, позволяет получать несанкционированный доступ к информационному обмену, осуществляемому через эти порты. Атака с использованием служб Named Pipes Состоит в применении механизма удаленного вызова процедур (RPC) с использованием транспортного протокола Named Pipes. Различные разновидности этой атаки создают несколько удаленных соединений с системой Windows NT и посылают случайные данные. Служба RPC атакуемого компьютера пытается обработать и закрыть удаленные соединения. При закрытии некорректных соединений загрузка процессора и использование системной памяти возрастают до 100%, в ряде случаев это приводит к зависанию системы. Атака сетевого доступа В подсистеме сетевой аутентификации Windows NT 4.0 Service Pack 4 допущена ошибка, заключающаяся в неправильной обработке регистрационной информации пользователей. В случае, когда пользователь Windows NT работает под управлением Windows for Workgroups, OS/2 или Macintosh и изменяет свой доменный пароль, контроллер домена Windows NT сохраняет в базе SAM только часть образа пароля пользователя, применяемую для совместимости с указанными системами. В этом случае регистрационная информация, применяемая для аутентификации пользователей Windows 95/98 и Windows NT, устанавливается в базе SAM в нулевое значение. Полученная таким образом регистрационная информация может быть использована для подключения к домену Windows NT под именем данного пользователя без пароля. Подключение может быть осуществлено клиентами Windows 95/98 и Windows NT. Используется для несанкционированного доступа к ресурсам системы Windows NT под именем существующего пользователя. Описанная процедура изменения пароля требует его знания и может быть осуществлена только легальным пользователем. Атака с применением маршрутизации, основанной на источнике В реализации стека протокола TCP/IP Windows NT 4.0 отсутствует возможность отключать режим маршрутизации IP-пакетов, при котором решение о маршруте доставки ответного пакета принимается на основании информации, заданной полученным пакетом. Уязвимость может быть применена для атак на доступность и, в некоторых случаях, на целостность информации. Необходимость обязательного отключения режима маршрутизации, основанной на источнике, была обоснована в бюллетене СЕКТ СА-95.01 (1995 г.). Атака подмены системных функций Заключается в подмене злоумышленником системных функций Windows NT. Для этого в память Windows NT загружается динамическая библиотека (DLL) с именем, совпадающим с одной из системных библиотек. Затем злоумышленник может программным путем изменить в списке системных модулей KnownDLLs ссылку на подмененную системную библиотеку. После этого все вызовы к данной системной библиотеке будут обрабатываться модулем злоумышленника. В случае подмены определенных системных функций возможно несанкционированное наделение пользователей правами администратора. Описываемая уязвимость позволяет существующим пользователям несанкционированно получать права администратора локальной или удаленной системы Windows NT. Атака с использованием хранителя экрана Запуск хранителя экрана Windows NT4.0 во время пользовательской сессии осуществляется с привилегиями системного уровня. После старта хранителя экрана происходит немедленное переключение контекста безопасности на уровень, соответствующий данному пользователю. При этом отсутствует проверка успешности результата такого переключения. В случае, если переключение контекста безопасности окончилось неуспешно, хранитель экрана продолжает работать с привилегиями системного уровня. Атака Mail Relaying Средства организации почтового обмена с применением протокола SMTP должны предоставлять защиту от несанкционированного использования почтовых серверов для посылки писем с подделкой исходной адресной части (mail relaying). Exchange Server предоставляет возможности защиты от указанных атак, однако в случае использования инкапсулированных адресов SMTP при обмене почтовыми сообщениями соответствующих проверок не производится. Злоумышленниками эта уязвимость может быть использована для посылки сообщений от имени почтового сервера под управлением Exchange Server посредством инкапсуляции адресов SMTP с подделкой исходной адресной части. Атака с использованием протокола IGMP При получении специально подготовленных фрагментированных пакетов по протоколу Internet Group Management Protocol (IGMP) существенно снижается производительность, может произойти зависание компьютера. Атака с применением маршрутизации, основанной на источнике-2 Пакетом обновления Service Pack 5 в реализации стека протокола TCP/IP Windows NT 4.0 добавлена возможность отключать режим маршрутизации IP-пакетов, при котором решение о маршруте доставки ответного пакета принимается на основании информации, заданной полученным пакетом. Однако имеется возможность обходить это ограничение путем посылки специально подготовленных пакетов, содержащих некоторое определенное или некорректное значение указателя на маршрут доставки. Уязвимость может быть использована для атак на доступность и, в некоторых случаях, на целостность информации. Необходимость обязательного отключения режима маршрутизации, основанной на источнике, была обоснована в бюллетене СЕКТ СА-95.01 (1995 г.). Уязвимость генератора помледовательных портов TCP-соединений Уязвимость состоит в возможности предсказания текущего последовательного номера пакета данных, передаваемого в рамках установленной сессии по протоколу TCP, и, как следствие, в осуществлении несанкционированного информационного обмена. Использование в качестве генератора последовательных номеров TCP-соединений функции, имеющей "предсказуемый" результат, может быть применено в целях успешного осуществления атак на доступность, целостность и конфиденциальность информации. Необходимость обязательного использования генератора номеров TCP-соединений со свойствами, максимально близкими к вычислению случайных значений, была обоснована в бюллетене CERT СА-95.01 (1995 г.). Выводы Надежная защита от описанных выше атак фактически сводится к созданию условий, при которых их реализация становится невозможной либо существенно затрудняется. При этом массовое применение адекватных защитных мер может быть затруднено по ряду причин. В целях частичного или полного воспрепятствования попыткам использования злоумышленниками слабостей Windows NT следует применять средства управления передачей потенциально опасных пакетов данных. Такими средствами являются межсетевые экраны, осуществляющие контроль над информацией, поступающей или выходящей из интрасети организации, и обеспечивающие защиту путем анализа потоков данных. Применение сертифицированных межсетевых экранов позволяет защитить массивы данных, хранимые и обрабатываемые в сетях под управлением операционной системы Windows NT. |