Protección contra ataques a funciones básicas del sistema operativo Windows NT.
Como se mencionó anteriormente, los ataques a la disponibilidad de datos son cada vez más comunes en Internet.
La posibilidad de que tengan éxito surge de la vulnerabilidad de los protocolos básicos para el intercambio de información en Internet.
Además, existen debilidades típicas en la implementación de los protocolos TCP/IP, heredados de los sistemas operativos modernos.
Consideremos los ataques a la disponibilidad de las funciones básicas de Windows NT, que se generalizaron en 1997-1998. y requirió el desarrollo por parte de Microsoft de adiciones de software especiales.
¡La consecuencia de tales ataques es la interrupción del funcionamiento de todo el sistema, independientemente del software de aplicación utilizado!
Los números y nombres de sus documentos correspondientes en Microsoft Knowledge Base (KB) se dan entre paréntesis.
Ataque OOB
Ejecutado el puerto 139 (NetBIOS).
Si el servicio está disponible, se envía un mensaje especificado por el atacante a la computadora atacada. En este caso se utiliza el modo de transmisión Fuera de Banda, es decir, fuera de turno, con alta prioridad.
Cuando se recibe un paquete del tipo especificado con el indicador Urgente activado, el sistema coloca un marcador en el flujo de datos de entrada, esperando que se reciba el siguiente fragmento de mensaje.Las consecuencias del ataque dependen de la versión del software, la configuración del protocolo de red, etc. y provocar un fallo del sistema con el error A Stop OxOA en el módulo Tcpip.sys o un fallo en el intercambio de información de la red.
Este ataque afecta a Windows NT 3.51 y 4.0, así como a Windows 95. [ Q143478: Detenga OA en TCPIP.SYS al recibir datos fuera de banda (OOB)]
Protección: oob- Además de la corrección, dependiendo de la versión de Windows NT y del service pack instalado.
Ataque GetAdmin
La utilidad GetAdmin se distribuyó en Internet y proporcionaba a los usuarios normales derechos de administrador del sistema al incluir ID de usuario en el grupo Administradores. GetAdmin aprovechó una vulnerabilidad en una de las funciones de bajo nivel que no verifica sus parámetros, lo que le permite pasar valores que deshabilitan el control de privilegios del depurador al llamarlo.
Esto hace posible conectarse a cualquier proceso que se ejecute en el sistema y, a su vez, ejecutar un subproceso en el contexto de seguridad de este proceso.
La utilidad GetAdmin conectada al proceso WinLogon, que se ejecuta en el contexto de seguridad del sistema y, utilizando funciones estándar, agregó el usuario requerido al grupo Administradores.
Como resultado, a un usuario no autorizado se le otorgaron derechos de administrador del sistema, lo que generó la posibilidad de acceso no autorizado bajo el administrador. nombre.
El ataque se aplica a Windows NT 4.0 Workstation y Server. Esta vulnerabilidad no existe en Windows NT 3.51. [Q146965: La utilidad GetAdmin otorga derechos administrativos a los usuarios]
Seguridad: complemento getadmin-fix, según la versión de Windows NT y el service pack instalado. El complemento no le permite deshabilitar la verificación de privilegios del depurador, lo que hace imposible conectarse a cualquier proceso e iniciar tareas en su nombre.
Cabe señalar que cualquier usuario al que se le hayan concedido los derechos de «Programas de depuración» siempre podrá utilizar con éxito la utilidad GetAdmin para obtener derechos de administrador (ya que los derechos de «Programas de depuración» permiten cada usuario se conecte a cualquier proceso).
Por lo tanto, los derechos «Programas de depuración» sólo debe concederse a usuarios de confianza (durante la instalación del sistema, estos derechos se conceden sólo a los miembros del grupo de administradores).
Ataque Ssping/Jolt
El ataque, que lleva el nombre de los programas que lo implementan, consiste en enviar por partes varios paquetes ICMP desfragmentados de gran tamaño (ICMP_ECHO). Windows NT falla al intentar descargar el paquete, lo que puede provocar daños en los datos.
El ataque tiene un efecto similar en las primeras implementaciones de POSIX y SYSV.
Puede ser aplicable a Windows Estación de trabajo y servidor NT 4.0, estación de trabajo y servidor Windows NT 3.51, Windows 95. [Q154174: Fragmentos de datagrama 1СМР no válidos bloquean Windows NT, Win 95]
Protección: complemento icmp-fix, dependiendo de la versión de Windows NT y del service pack instalado.
Ataque a servicios TCP/IP simples
El atacante envía un flujo de datagramas UDP a la dirección de transmisión de la subred en la que se encuentra la computadora con Windows NT con los servicios TCP/IP simples instalados.
La dirección de origen de dichos paquetes se falsifica y el puerto 19 (servicio de carga) se especifica como puerto de destino. La computadora con Windows NT responde a cada solicitud con una avalancha de datagramas UDP.
Esto resulta en un aumento significativo en el tráfico de subred e impide que los servicios legítimos se comuniquen.
El ataque se aplica a Windows NT 4.0 Estación de trabajo y servidor. [Q15446: Ataque de denegación de servicio contra servicios TCP/IP simples de WinNT]
Protección: complemento simtcp-fix, según la versión de Windows NT y el service pack instalado. El complemento realiza cambios en TCP/IP, Windows Sockets y Simple TCP/IP que evitan que se lleven a cabo este tipo de ataques.
LAND Attack
Llamado por el nombre de una implementación común en Internet.
Consiste en enviar paquetes TCP con el flag SYN (inicialización de conexión), en los que la dirección de origen y el puerto son iguales al de destino. dirección y puerto.
como resultado de esto, «andar en bicicleta» paquetes de información con el indicador ACK configurado: la computadora atacada se envía una gran cantidad de paquetes a sí misma.
Esto resulta en una pérdida significativa de recursos informáticos y, en algunos casos, fallas de Windows NT.
El ataque es aplicable a Windows NT 4.0 Workstation y Server, así como a Windows 95. [Q165005: Windows NT se ralentiza debido to Land Attack]
Protección: complemento land-fix, dependiendo de la versión de Windows NT y del service pack instalado.
Ataque DE LÁGRIMA
El nombre se debe a una implementación generalizada en Internet. Consiste en enviar pares especialmente diseñados de paquetes IP fragmentados que, al recibirlos, se ensamblan en un datagrama UDP incorrecto.
Los desplazamientos superpuestos hacen que los datos en el medio del encabezado del datagrama UDP contenido en el primer paquete se sobrescrito por el segundo paquete.
El resultado es un datagrama sin terminar que se coloca en el área de memoria del kernel de Windows NT. Recibir y procesar una gran cantidad de estos pares de paquetes hace que Windows NT falle con el mensaje STOP OxOA.
Se aplica a estaciones de trabajo y servidores Windows NT 4.0. [Q179129: DETENGA OxOA debido a un ataque de lágrima modificado]
Defensa: adición de corrección de lágrima2. dependiendo de la versión de Windows NT y del service pack instalado.
Ataque de denegación de servicio
Se envía una solicitud de conexión a través del SMB protocolo al servidor Windows NT que indica el tamaño incorrecto de los datos posteriores. El procesamiento de dicha solicitud por parte del servidor provoca la finalización de emergencia del sistema con el mensaje STOP ОхОА (STOP 0х00000050) o su congelación.
Se aplica al servidor Windows NT 4.0. [Q180963: El ataque de denegación de servicio hace que los sistemas Windows NT se reinicien]
Protección: adición de srv-fix, dependiente dependiendo de la versión de Windows NT y del service pack instalado.
Ataque SECHOLE
Debe su nombre a un programa muy extendido en Internet. Similar al ataque GetAdmin con la diferencia de que utiliza la función de interfaz OpenProcess para obtener privilegios de depuración. Como resultado, un usuario legítimo recibe derechos administrativos sin permiso.
Se aplica a Windows NT 4.0 Workstation and Server, Windows NT 3.51 Workstation y Server. [Q190Z88: SecHole permite a los usuarios no administrativos obtener acceso al nivel de depuración]
Protección: adición de priv-fix, versión dependiente de Windows NT y service pack instalado.
Ataque de solicitud ICMP
Consiste en enviar un paquete de Solicitud de Dirección de Máscara de Subred 1СМР a la dirección de una interfaz de red configurada para utilizar varias direcciones IP pertenecientes a una misma subred.
El sistema Windows NT falla con el mensaje STOP STOP ОхОА (ОхАООЗЗ , 0х00000002, 0х00000000 , Oxf381329B), donde el cuarto parámetro se refiere al área de memoria del módulo Tcpip.sys.
Se aplica a Windows NT 4.0 Workstation y Server. [Q192774: Detenga OxOOOOOOOOA en Tcpip.sys procesando un paquete ICMP].
La vulnerabilidad descrita se solucionó por primera vez en Windows NT Service Pack 4.
Ataque de escucha de puerto
Es una acción especial en la que una aplicación o El servicio Windo.wsNT puede acceder a la información enviada y recibida en algunos puertos utilizando los protocolos TCP y LJDP. «
Escuchar» Los puertos abiertos por otras aplicaciones permiten el acceso no autorizado al intercambio de información realizado a través de estos puertos.
El ataque se aplica a Windows NT 4.0 Workstation y Server. [Q194431: Es posible que las aplicaciones puedan «escuchar» en puertos TCP o LJDP]
La vulnerabilidad descrita se solucionó por primera vez en Windows NT Service Pack 4.
Un ataque utilizando servicios de Named Pipes
Consiste en utilizar un mecanismo de llamada a procedimiento remoto (RPC) utilizando el protocolo de transporte Named Pipes.
Las variantes de este ataque crean múltiples conexiones remotas a un sistema Windows NT y envían datos aleatorios.
El servicio RPC de la computadora objetivo intenta procesar y cerrar conexiones remotas.
Cerrar conexiones defectuosas provoca que la CPU La carga y el uso de la memoria del sistema aumentan al 100%, en algunos casos esto conduce a un congelamiento del sistema.
Se aplica a Windows NT 4.0 Workstation y Server. [Q195733: Denegación de servicio en aplicaciones que utilizan canalizaciones con nombre sobre RPC]
Protección: Windows NT Service Pack 4 y nprpc-fix.
Ataque de acceso a la red
En el subsistema de autenticación de red de Windows NT 4.0 Service Pack 4 tiene un error porque procesó incorrectamente la información de registro del usuario.
Cuando un usuario de Windows NT ejecuta Windows para trabajo en grupo, OS/2 o Macintosh y cambia su contraseña de dominio, el controlador de dominio de Windows NT almacena en la base de datos SAM sólo una parte de la imagen de contraseña del usuario que se utiliza para compatibilidad con esos sistemas.
En este caso, la información de registro utilizada para autenticar a los usuarios de Windows 95/98 y Windows NT se establece en cero en la base de datos SAM.
La información de registro obtenida de esta manera se puede se utiliza para conectarse a un dominio de Windows NT con el nombre de usuario proporcionado sin contraseña.
La conexión se puede realizar mediante clientes Windows 95/98 y Windows NT. Se utiliza para el acceso no autorizado a los recursos del sistema Windows NT bajo el nombre de un usuario existente.
El procedimiento descrito para cambiar la contraseña requiere conocimiento de la misma y sólo puede ser realizado por un usuario legal.
Se aplica a Windows NT 4.0 Server Service Pack 4. [Q214840: MSV1_0 permite conexiones de red para cuentas específicas]
Seguridad: Windows NT Service Pack 4 y MSVI-fix.
Ataque de enrutamiento basado en fuente
La implementación de la pila de protocolos TCP/IP de Windows NT 4.0 no tiene la capacidad de desactivar el modo de enrutamiento de paquetes IP, en el que la decisión sobre la ruta de entrega del paquete de respuesta se toma en función de la información especificada por el paquete recibido.
La vulnerabilidad puede usarse para atacar la disponibilidad y, en algunos casos, la integridad de la información.
La necesidad de deshabilitar obligatoriamente el modo de enrutamiento basado en fuente fue justificada en la SECT boletín CA-95.01 (1995).
Se aplica a Windows NT 4.0 Workstation y Server Service Pack 4. [Q217336: La función de enrutamiento de origen TCP/IP no se puede deshabilitar]
La vulnerabilidad descrita se solucionó por primera vez en Windows NT Service Pack 5.
Ataque de suplantación de funciones del sistema
Consta de un atacante que reemplaza las funciones del sistema de Windows NT.
Para hacer esto, se carga en la memoria de Windows NT una biblioteca de vínculos dinámicos (DLL) con un nombre que coincide con una de las bibliotecas del sistema.
Luego, el atacante puede cambiar mediante programación el enlace a la biblioteca del sistema falsificada en la lista de módulos del sistema KnownDLL.
Después de esto, todas las llamadas a esta biblioteca del sistema serán procesadas por el módulo del atacante.
En caso de sustitución de determinadas funciones del sistema, es posible la concesión no autorizada de derechos de administrador a los usuarios.
La vulnerabilidad descrita permite a los usuarios existentes obtener derechos administrativos no autorizados en un sistema Windows NT local o remoto.
Se aplica a Windows NT 3.51,4.0 Workstation y Server. [Q218473: Restricción de cambios en objetos del sistema base]
Protección: Windows NT Service Pack 4 y complemento Smss -fix.
Ataque usando protector de pantalla
El protector de pantalla de Windows NT4.0 se inicia con privilegios de nivel de sistema durante una sesión de usuario <. /p>
Después de iniciar el protector de pantalla, el contexto de seguridad cambia inmediatamente al nivel correspondiente al usuario determinado.
En este caso, no se comprueba el éxito del resultado de dicho cambio.
Si el cambio del contexto de seguridad no tiene éxito, el protector de pantalla continúa funcionando con privilegios a nivel de sistema.
El ataque se aplica a Windows NT 4.0 Workstation y Server Service Pack 4 [Q221991: La vulnerabilidad del protector de pantalla permite elevar los privilegios del usuario].
.Protección: Windows NT Service Pack 4 y el complemento ScrnSav-fix.
Ataque de retransmisión de correo
Herramientas para organizar el intercambio de correo utilizando el protocolo SMTP debe proporcionar protección contra el uso no autorizado de servidores de correo para enviar correo con falsificación de la parte de la dirección original (retransmisión de correo).
Exchange Server proporciona protección contra estos ataques, sin embargo, si se utilizan direcciones SMTP encapsuladas al intercambiar mensajes de correo, no se realizan las comprobaciones correspondientes.
Esta vulnerabilidad puede ser utilizada por atacantes para enviar mensajes en nombre de un correo. servidor que ejecuta Exchange Server mediante encapsulación de direcciones SMTP con falsificación de la parte de la dirección original.
El ataque es aplicable a Exchange Server. [Q237927: XIMS: Los mensajes enviados a una dirección SMTP encapsulada se redirigen aunque el redireccionamiento esté deshabilitado]
Protección: Exchange Server Service Pack 2 e imc-fix.
Ataque mediante protocolo IGMP
Al recibir paquetes fragmentados especialmente preparados a través del Protocolo de administración de grupos de Internet (IGMP), el rendimiento se reduce significativamente y la computadora puede congelarse.
El ataque es aplicable a Windows NT 4.0 Workstation y Server Service Pack 5, Windows 95/98. [Q2383Z9: Los paquetes IGMP con formato incorrecto pueden promover la «denegación de servicio» Ataque]
Protección: Windows NT Service Pack 5 y complemento IGMP-tix.
Ataque de enrutamiento Source-2
Service Pack 5 en el La implementación de la pila de protocolos TCP/IP de Windows NT 4.0 agregó la capacidad de deshabilitar el modo de enrutamiento de los paquetes IP, en el que la decisión sobre la ruta de entrega del paquete de respuesta se toma en función de la información especificada por el paquete recibido.
Sin embargo, es posible evitar esta limitación enviando paquetes especialmente preparados que contengan algún valor específico o incorrecto del puntero a la ruta de entrega.
La vulnerabilidad se puede utilizar para atacar la disponibilidad y, en algunos casos, la integridad de la información.
La vulnerabilidad se puede utilizar para atacar la disponibilidad y, en algunos casos, la integridad de la información.
La vulnerabilidad se puede utilizar para atacar la disponibilidad y, en algunos casos, la integridad de la información.
La vulnerabilidad se puede utilizar para atacar la disponibilidad y, en algunos casos, la integridad de la información.
La necesidad de deshabilitar obligatoriamente la El modo de enrutamiento basado en fuente fue justificado en el boletín de la SECT CA-95.01 (1995).
El ataque es aplicable a Windows NT 4.0 Workstation y Server Service Pack 5, Windows 95/98. [Q238453: Los datos en el campo de puntero de ruta pueden omitir la desactivación de enrutamiento de origen]
Protección: Windows NT Service Pack 5 y la adición Spoof-fix.
Vulnerabilidad en el generador de puerto serie de conexión TCP
La vulnerabilidad consiste en la capacidad de predecir el puerto serie actual número de un paquete de datos, transmitido dentro de la sesión establecida a través del protocolo TCP y, como resultado, en la implementación de un intercambio de información no autorizado.
Usar una función que tenga una función «predecible» como generador de números de secuencia de conexión TCP. resultado, se puede utilizar para llevar a cabo con éxito ataques a la disponibilidad, integridad y confidencialidad de la información.
La necesidad del uso obligatorio de un generador de números de conexión TCP con propiedades lo más cercanas posible al cálculo de números aleatorios valores fue justificado en el boletín CERT CA 95.01 (1995).
El ataque se aplica a Windows NT 4.0 Workstation y Server Service Pack 4. [Q243835: Cómo evitar números de secuencia iniciales TCP/IP predecibles]
Protección: adición q243835.
Conclusiones
La protección confiable contra los ataques descritos anteriormente se reduce en realidad a crear condiciones bajo las cuales su implementación se vuelve imposible o significativamente difícil.
Al mismo tiempo, la aplicación generalizada de medidas de protección adecuadas puede resultar difícil por varias razones.
Para evitar total o parcialmente que los atacantes aprovechen las debilidades de Windows NT, Se deben utilizar controles para controlar la transmisión de paquetes de datos potencialmente peligrosos.
Dichas herramientas son cortafuegos que ejercen control sobre la información que entra o sale de la intranet de la organización y brindan protección mediante el análisis de los flujos de datos.
El uso de firewalls certificados le permite proteger conjuntos de datos almacenados y procesados en redes que ejecutan el sistema operativo Windows NT.