Защита от атак на базовые функции ОС Windows NT.

zashita ot atak na bazovie funkcii os windows nt

Защита от атак на базовые функции ОС Windows NT.

Как указывалось ранее, в сети Интернет все большее распространение получают атаки на доступность данных.

Возможность их успешного проведения вытекает из уязвимости базовых протоколов информационного обмена в сети Интернет.

Кроме этого, имеются типичные слабости реализации протоколов TCP/IP, наследуемые современными операционными системами.

Рассмотрим атаки на доступность базовых функций Windows NT, получившие распространение в 1997-1998 rr. и вызвавшие необходимость разработки фирмой Microsoft специальных дополнений программного обеспечения.

Следствием проведения таких атак является нарушение функционирования всей системы вне зависимости от используемого прикладного программного обеспечени!

В скобках указаны номера и названия ее сответствующих документов в Microsoft Knowledge Base (KB).


Атака OOB

Выполняется на порт 139 (NetBIOS).

В случае доступности сервиса на атакуемый компьютер посылается сообщение, задаваемое злоумышленником. При этом используется режим передачи Out-of-Band, то есть вне очереди, с высоким приоритетом.

При получении пакета указанного типа с установленным флагом Urgent система ставит маркер на входной поток данных, ожидая получения следующего фрагмента сообщения.

Последствия атаки зависят от версии программного обеспечения, конфигурации ceтевых протоколов и т.д. и вызывают либо крах системы с ошибкой A Stop ОхОА в модуле Tcpip.sys, либо отказ в сетевом информационном обмене.

Данная атака воздействует на Windows NT 3.51 и 4.0, а также Windows 95. [Q143478: Stop OA in TCPIP.SYS When Receiving Out Of Band (OOB) Data]

Защита: дополнение oob-fix — в зависимости от версии Windows NT и установ- ленного пакета обновления.

Атака GetAdmin

В сети Интернет была распространена утилита GetAdmin, которая предоставляла обычным пользователям права администратора системы путем включения идентификаторов пользователей в группу Administrators. GetAdmin использовала уязвимость одной из низкоуровневых функций, которая не проверяет свои параметры, что позволяет передать при ее вызове значения, отключающие контроль привилегий отладчика.

Это дает возможность подключаться к любому процессу, запущенному в системе, и, в свою очередь, запускать подпроцесс в контексте безопасности данного процесса.

Утилита GetAdmin подключалась к процессу WinLogon, который работает в контексте безопассти системы, и, используя стандартные функции, добавляла необходимого пользователя в группу Administrators.

В результате осуществлялось несанкционированное наделение легального пользователя правами администратора системы, что приводило к возможности несанкционированного доступа под именем администратора.

Атака применима к Windows NT 4.0 Workstation и Server. В Windows NT 3.51 указанная уязвимость отсутствует. [Q146965: GetAdmin Utility Grants Users Administrative Rights]

Защита: дополнение getadmin-fix, зависящее от версии Windows NT и установленного пакета обновления. Дополнение не позволяет отключать проверку привилегий отладчика, чем достигается невозможность подключения к какому-либо процессу и запуска задач от его имени.

Необходимо заметить, что любой пользователь, которому были предоставлены права «Debug Programs», всегда сможет успешно воспользоваться утилитой GetAdmin для получения прав администратора (поскольку права «Debug Programs» позволяют каждому пользователю подключаться к любому процессу).

Следовательно, правами «Debug Programs» должны наделяться лишь доверенные пользователи (при установке системы эти права предоставляются только членам группы Administartors).

Атака Ssping/Jolt

Атака, названная по имени реализующих программ, состоит в посылке нескольких дефрагментированных пакетов IСМР (IСМР_ЕСНО) больших размеров по частям. ОС Windows NT, пытаясь ать пакет, зависает, что может привести к нарушению целостности данных.

Атака действует аналогичным образом на ранние реализации POSIX и SYSV.

Может быть применима к Windows NT 4.0 Workstation и Server, Windows NT 3.51 Workstation и Server, Windows 95. [Q154174: Invalid 1СМР Datagram Fragments Hang Windows NT, Win 95]

Защита: дополнение icmp-fix, зависящее от версии Windows NT и установленного пакета обновления.

Атака на службы Simple TCP/IP

Злоумышленник посылает поток дейтаграмм UDP по широковещательному адресу подсети, в которой находится компьютер Windows NT с установленными службами Simple TCP/IP.

Исходный адрес таких пакетов подделан, в качестве порта назначения указан порт 19 (сервис chargen). Компьютер Windows NT отвечает на каждый такой запрос, вызывая лавину дейтаграмм UDP.

Это приводит к существенному увеличению трафика подсети и лишает легальные службы возможности информационного обмена.
Атака применима к Windows NT 4.0 Workstation и Server. [Q15446: Denial of Service Attack Against WinNT Simple TCP/IP Services]

Защита: дополнение simptcp-fix, зависящее от версии Windows NT и установленного пакета обновления. Дополнение вносит изменения в TCP/IP, Windows Sockets и Simple TCP/IP, препятствующие возможности осуществления таких атак.

Атака LAND

Названа по имени распространенной в сети Интернет реализации.

Заключается в посылке пакетов TCP с флагом SYN (инициа- лизация соединения), в которых исходный адрес и порт равны адресу и порту назначения. В

следствие этого происходит «зацикливание» информационных пакетов с установленным флагом АСК: атакуемый компьютер посылает сам себе большое количество пакетов.

Это приводит к существенной потере вычислительных ресурсов, а в ряде случаев и к аварийному завершению Windows NT.
Атака применима к Windows NT 4.0 Workstation и Server, а также Windows 95. [Q165005: Windows NT Slows Down Due to Land Attack]

Защита: дополнение land-fix, зависящее от версии Windows NT и установленного пакета обновления.

Атака TEARDROP

Названа по имени распространенной в сети Интернет реализации. Состоит в отправке специально созданных пар фрагментированных IP- пакетов, которые после приема собираются в некорректную дейтаграмму UDP.

Перекрывающиеся смещения вызывают перезапись данных в середине заголовка UDP-дейтаграммы, содержащегося в первом пакете, вторым пакетом.

В результате образуется незаконченная дейтаграмма, размещаемая в области памяти ядра Windows NT. Получение и обработка большого количества таких пар пакетов приводят к аварийному завершению Windows NT с сообщением STOP ОхОА.

Применяется к Windows NT 4.0 Workstation и Server. [Q179129: STOP ОхОА Due to Modified Teardrop Attack]

Защита: дополнение teardrop2-fix. зависящее от версии Windows NT и установленного пакета обновления.

Атака Denial of Service

По протоколу SMB посылается запрос на подключение к серверу Windows NT с указанием неверного размера последующих данных. Обработка сервером такого запроса приводит к аварийному завершению системы с выдачей сообщения STOP ОхОА (STOP 0х00000050) или к ее зависанию.

Применяется к Windows NT 4.0 Server. [Q180963: Denial of Service Attack Causes Windows NT Systems to Restart]

Защита: дополнение srv-fix, зависящее от версии Windows NT и установленного пакета обновления.

Атака SECHOLE

Свое название получила по имени распространенной в сети Интернет программы. Аналогична атаке GetAdmin с той разницей, что для получения привилегий отладки использует интерфейсную функцию OpenProcess. В результате легальный пользователь несанкционированно наделяется правами администратора.

Применяется к Windows NT 4.0 Workstation и Server, Windows NT 3.51 Workstation и Server. [Q190Z88: SecHole Lets Nonadministrative Users Gain Debug Level Access]

Защита: дополнение priv-fix, зависящее от версии Windows NT и установленного пакета обновления.

Атака ICMP Request

Заключается в посылке пакета 1СМР Subnet Mask Address Request по адресу сетевого интерфейса, сконфигурированного на использование нескольких IP-адресов, принадлежащих одной подсети.

Система Windows NT аварийно завершается с подачей сообщения STOP STOP ОхОА (ОхАООЗЗ, 0х00000002, 0х00000000, Oxf381329B), где четвертый параметр относится к области памяти модуля Tcpip.sys.
Применяется к Windows NT 4.0 Workstation и Server. [Q192774: Stop OxOOOOOOOA in Tcpip.sys Processing an ICMP Packet].

Описанная уязвимость была впервые ликвидирована в пакете обновления Windows NT Service Pack 4.

Атака прослушивания портов

Представляет собой специальные действия, при которых приложение или служба Windo.wsNT может получать доступ к информации, передаваемой и получаемой на некоторые порты по протоколам TCP и LJDP. «

Прослушивание» портов, открытых другими приложениями, позволяет получать несанкционированный доступ к информационному обмену, осуществляемому через эти порты.
Атака применима к Windows NT 4.0 Workstation и Server. [Q194431: Applications May Be Able to «Listen» on TCP or LJDP Ports]

Описанная уязвимость впервые ликвидирована в пакете обновления Windows NT Service Pack 4.

Атака с использованием служб Named Pipes

Состоит в применении механизма удаленного вызова процедур (RPC) с использованием транспортного протокола Named Pipes.

Различные разновидности этой атаки создают несколько удаленных соединений с системой Windows NT и посылают случайные данные.

Служба RPC атакуемого компьютера пытается обработать и закрыть удаленные соединения.

При закрытии некорректных соединений загрузка процессора и использование системной памяти возрастают до 100%, в ряде случаев это приводит к зависанию системы.

Применяется к Windows NT 4.0 Workstation и Server. [Q195733: Denial of Service in Applications Using Named Pipes over RPC]

Защита: пакет обновления Windows NT Service Pack 4 и дополнение nprpc-fix.

Атака сетевого доступа

В подсистеме сетевой аутентификации Windows NT 4.0 Service Pack 4 допущена ошибка, заключающаяся в неправильной обработке регистрационной информации пользователей.

В случае, когда пользователь Windows NT работает под управлением Windows for Workgroups, OS/2 или Macintosh и изменяет свой доменный пароль, контроллер домена Windows NT сохраняет в базе SAM только часть образа пароля пользователя, применяемую для совместимости с указанными системами.

В этом случае регистрационная информация, применяемая для аутентификации пользователей Windows 95/98 и Windows NT, устанавливается в базе SAM в нулевое значение.

Полученная таким образом регистрационная информация может быть использована для подключения к домену Windows NT под именем данного пользователя без пароля.

Подключение может быть осуществлено клиентами Windows 95/98 и Windows NT. Используется для несанкционированного доступа к ресурсам системы Windows NT под именем существующего пользователя.

Описанная процедура изменения пароля требует его знания и может быть осуществлена только легальным пользователем.

Применяется к Windows NT 4.0 Server Service Pack 4. [Q214840: MSV1_0 Allows Network Connections for Specific Accounts]

Защита: пакет обновления Windows NT Service Pack 4 и дополнение MSVI-fix.

Атака с применением маршрутизации, основанной на источнике

В реализации стека протокола TCP/IP Windows NT 4.0 отсутствует возможность отключать режим маршрутизации IP-пакетов, при котором решение о маршруте доставки ответного пакета принимается на основании информации, заданной полученным пакетом.

Уязвимость может быть применена для атак на доступность и, в некоторых случаях, на целостность информации.

Необходимость обязательного отключения режима маршрутизации, основанной на источнике, была обоснована в бюллетене СЕКТ СА-95.01 (1995 г.).
Применяется к Windows NT 4.0 Workstation и Server Service Pack 4. [Q217336: TCP/IP Source Routing Feature Cannot Be Disabled]

Описанная уязвимость впервые устранена в пакете обновления Windows NT Service Pack 5.

Атака подмены системных функций

Заключается в подмене злоумышленником системных функций Windows NT.

Для этого в память Windows NT загружается динамическая библиотека (DLL) с именем, совпадающим с одной из системных библиотек.

Затем злоумышленник может программным путем изменить в списке системных модулей KnownDLLs ссылку на подмененную системную библиотеку.

После этого все вызовы к данной системной библиотеке будут обрабатываться модулем злоумышленника.

В случае подмены определенных системных функций возможно несанкционированное наделение пользователей правами администратора.

Описываемая уязвимость позволяет существующим пользователям несанкционированно получать права администратора локальной или удаленной системы Windows NT.
Применяется к Windows NT 3.51,4.0 Workstation и Server. [Q218473: Restricting Changes to Base System Objects]

Защита: пакет обновления Windows NT Service Pack 4 и дополнение Smss-fix.

Атака с использованием хранителя экрана

Запуск хранителя экрана Windows NT4.0 во время пользовательской сессии осуществляется с привилегиями системного уровня.

После старта хранителя экрана происходит немедленное переключение контекста безопасности на уровень, соответствующий данному пользователю.

При этом отсутствует проверка успешности результата такого переключения.

В случае, если переключение контекста безопасности окончилось неуспешно, хранитель экрана продолжает работать с привилегиями системного уровня.

Атака применима к Windows NT 4.0 Workstation и Server Service Pack 4. [Q221991: Screen Saver Vulnerability Lets User Privileges be Elevated].

Защита: пакет обновления Windows NT Service Pack 4 и дополнение ScrnSav-fix.

Атака Mail Relaying

Средства организации почтового обмена с применением протокола SMTP должны предоставлять защиту от несанкционированного использования почтовых серверов для посылки писем с подделкой исходной адресной части (mail relaying).

Exchange Server предоставляет возможности защиты от указанных атак, однако в случае использования инкапсулированных адресов SMTP при обмене почтовыми сообщениями соответствующих проверок не производится.

Злоумышленниками эта уязвимость может быть использована для посылки сообщений от имени почтового сервера под управлением Exchange Server посредством инкапсуляции адресов SMTP с подделкой исходной адресной части.

Атака применима к Exchange Server. [Q237927: XIMS: Messages Sent to Encapsulated SMTP Address Are Rerouted Even Though Rerouting Is Disabled]

Защита: пакет обновления Exchange Server Service Pack 2 и дополнение imc-fix.

Атака с использованием протокола IGMP

При получении специально подготовленных фрагментированных пакетов по протоколу Internet Group Management Protocol (IGMP) существенно снижается производительность, может произойти зависание компьютера.

Атака применима к Windows NT 4.0 Workstation и Server Service Pack 5, Windows 95/98. [Q2383Z9: Malformed IGMP Packets May Promote «Denial of Service» Attack]

Защита: пакет обновления Windows NT Service Pack 5 и дополнение IGMP-tix.

Атака с применением маршрутизации, основанной на источнике-2

Пакетом обновления Service Pack 5 в реализации стека протокола TCP/IP Windows NT 4.0 добавлена возможность отключать режим маршрутизации IP-пакетов, при котором решение о маршруте доставки ответного пакета принимается на основании информации, заданной полученным пакетом.

Однако имеется возможность обходить это ограничение путем посылки специально подготовленных пакетов, содержащих некоторое определенное или некорректное значение указателя на маршрут доставки.

Уязвимость может быть использована для атак на доступность и, в некоторых случаях, на целостность информации.

Необходимость обязательного отключения режима маршрутизации, основанной на источнике, была обоснована в бюллетене СЕКТ СА-95.01 (1995 г.).

Атака применима к Windows NT 4.0 Workstation и Server Service Pack 5, Windows 95/98. [Q238453: Data in Route Pointer Field Can Bypass Source Routing Disable]

Защита: пакет обновления Windows NT Service Pack 5 и дополнение Spoof-fix.

Уязвимость генератора помледовательных портов TCP-соединений

Уязвимость состоит в возможности предсказания текущего последовательного номера пакета данных, передаваемого в рамках установленной сессии по протоколу TCP, и, как следствие, в осуществлении несанкционированного информационного обмена.

Использование в качестве генератора последовательных номеров TCP-соединений функции, имеющей «предсказуемый» результат, может быть применено в целях успешного осуществления атак на доступность, целостность и конфиденциальность информации.

Необходимость обязательного использования генератора номеров TCP-соединений со свойствами, максимально близкими к вычислению случайных значений, была обоснована в бюллетене CERT СА-95.01 (1995 г.).

Атака применима к Windows NT 4.0 Workstation и Server Service Pack 4. [Q243835: How to prevent Predictable TCP/IP Initial Sequence Numbers]

Защита: дополнение q243835.

Выводы

Надежная защита от описанных выше атак фактически сводится к созданию условий, при которых их реализация становится невозможной либо существенно затрудняется.

При этом массовое применение адекватных защитных мер может быть затруднено по ряду причин.

В целях частичного или полного воспрепятствования попыткам использования злоумышленниками слабостей Windows NT следует применять средства управления передачей потенциально опасных пакетов данных.

Такими средствами являются межсетевые экраны, осуществляющие контроль над информацией, поступающей или выходящей из интрасети организации, и обеспечивающие защиту путем анализа потоков данных.

Применение сертифицированных межсетевых экранов позволяет защитить массивы данных, хранимые и обрабатываемые в сетях под управлением операционной системы Windows NT.

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять