HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN  BÁO CÁO MƠN HỌC AN TOÀN HỆ ĐIỀU HÀNH ĐỀ TÀI: Vulnerability in HTTP.sys Could Allow Remote Code Execution (CVE-2015-1635) Hà Nội, 2016 MỤC LỤC PHẦN I: GIỚI THIỆU 1.1 Giới thiệu cấu trúc IIS đệm HTTP.sys 1.2 Giới thiệu đệm HTTP.sys (Hypertext transfer protocal stack) 1.3 Lỗ hổng CVE-2015-1635 PHẦN II KHAI THÁC & TẤN CÔNG 2.1 Sử dụng phần mềm Metasploit để tìm kiếm thơng tin 2.2 Kiểm tra cổng dịch vụ mở máy mục tiêu Sử dụng httpSYS.py để quét phát máy bị lỗi 12 2.3 Tấn công 13 PHẦN III Phòng chống 15 PHẦN IV Demo 16 PHẦN I: GIỚI THIỆU 1.1 Giới thiệu cấu trúc IIS đệm HTTP.sys A) Giới thiệu IIS: IIS viết tắt từ (Internet Information Services), đính kèm với phiên Windows IIS dịch vụ dành cho máy chủ chạy hệ điều hành Window nhằm cung cấp phân tán thơng tin lên mạng, bao gồm nhiều dịch vụ khác Web Server, FTP Server… Nó sử dụng để xuất nội dung trang Web lên Internet/Intranet việc sử dụng “Phương thức chuyển giao siêu văn bản“ – Hypertext Transport Protocol (HTTP) Như vậy, sau bạn thiết kế xong trang Web mình, bạn muốn đưa chúng lên mạng để người truy cập xem chúng bạn phải nhờ đến Web Server, IIS Nếu khơng trang Web bạn xem máy bạn thông qua việc chia sẻ tệp (file sharing) tệp mạng nội mà Hiện IIS có phiên 3.0, 4.0, 5.1, 6.0, 7.0, 7.5 Nói chung cách cài đặt khơng có khó khác version Các điểm cải tiến IIS tập trung quanh vấn đề sử dụng mơ hình thiết kế modul, chức quản lý dễ dàng, nâng cao tính bảo mật Phiên IIS bao gồm:  Windows Process Activation Service (WAS): thiết lập trang sử dụng giao thức HTTP HTTPS  Web server engine: thêm xóa module  Integrated request-processing: xử lý request từ IIS đến ASP.NET B) Hoạt động IIS Một dịch vụ phổ biến IIS dịch vụ WWW (World Wide Web), nói tắt dịch vụ Web Dịch vụ Web sử dụng giao thức HTTP để tiếp nhận yêu cầu (Requests) trình duyệt Web (Web browser) dạng địa URL (Uniform Resource Locator) trang Web IIS phản hồi lại yêu cầu cách gửi cho Web browser nội dung trang Web tương ứng o HTTP.sys nhận request mà client gửi lên o HTTP.sys liên lạc với WAS để nhận thơng tin cấu hình o WAS u cầu thơng tin cấu hình từ applicationHost.config o WWW service nhận thơng tin cấu hình o WWW service sử dụng thơng tin cấu hình để config HTTP.sys o WAS khởi động worker processor application pool để xử lý request o Worker processor xử lý request gửi response cho HTTP.sys o HTTP.sys gửi response cho client 1.2 stack) Giới thiệu đệm HTTP.sys (Hypertext transfer protocal HTTP.sys subsystem hệ thống Windows, chạy chế độ nhân HTTP.sys lắng nghe request network, chuyển request cho IIS xử lý, sau gửi response cho trình duyệt client Lới ích từ việc sử dụng HTTP.sys: o Kernel mode caching: request response xử lý mà không cần chuyển qua chế độ người dùng o Kernel mode request queuing: Thiết lập hàng đợi cho requests, giúp IIS không bị tải xử lý o Các request tiền xử lý kiểm tra vấn đề an ninh 1.3 Lỗ hổng CVE-2015-1635 a, Thông tin tin bản: Lỗ hổng HTTP.sys cho phép Mã Thực từ xa công bố vào tháng năm 2015 Microsoft đánh giá lỗ hổng nghiêm trọng HTTP.sys tồn lỗ hổng bảo mật xử lý khơng cách request mà attacker gửi lên Một thành công việc khai thác lỗi, attacker thực thi code máy tính nạn nhân b, Những hệ thống bị ảnh hưởng lỗ hổng HTTP.sys Lỗ hổng bảo mật xếp hạng nghiêm trọng cho tất phiên Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 Bảng đánh giá xác định mức độ ảnh hưởng nghiêm trọng: Vulnerability Severity Rating and Maximum Security Impact by Affected Software Affected Software HTTP.sys Remote Code Execution Vulnerability - CVE-20151635 Aggregate Severity Rating Windows Windows for 32-bit Systems Service Pack (3042553) Critical Remote Code Execution Critical Windows for x64-based Systems Service Pack 3042553 Critical Remote Code Execution Critical Windows Server 2008 R2 for Itanium-Based Systems Service Pack (3042553) Critical Remote Code Execution Critical Windows Server 2008 R2 for x64-based Systems Service Pack (3042553) Critical Remote Code Execution Critical Windows for 32-bit Systems (3042553) Critical Remote Code Execution Critical Windows for x64-based Systems (3042553) Critical Remote Code Execution Critical Windows Server 2008 R2 Windows and Windows 8.1 Windows Server 2012 and Windows Server 2012 R2 Windows Server 2012 (3042553) Critical Remote Code Execution Critical Windows Server 2012 R2 (3042553) Critical Remote Code Execution Critical Server Core installation option Windows Server 2012 (Server Critical Critical Core installation) (3042553) Windows Server 2012 R2 (Server Core installation) (3042553) Remote Code Execution Critical Remote Code Execution Critical PHẦN II 2.1 KHAI THÁC & TẤN CÔNG Sử dụng phần mềm Metasploit để tìm kiếm thơng tin Metasploit dự án bảo mật máy tính cung cấp thơng tin vấn đề linỗ hổng bảo mật giúp đỡ kiểm tra thăm nhập phát triển hệ thống phát công mạng Metasploit Framework môi trường dùng để kiểm tra, công khai thác lỗi service Metasploit xây dựng từ ngôn ngữ hướng đối tượng Perl, với components viết C, assembler, Python Metasploit chạy hầu hết hệ điều hành: Linux, Windows, MacOS Chúng ta download chương trình www.metasploit.com Metasploit hỗ trợ nhiều giao diện với người dùng: – Console interface: dùng lệnh msfconsole Msfconsole interface sử dụng dòng lệnh để cấu hình, kiểm tra nên nhanh mềm dẻo – Web interface: dùng msfweb, giao tiếp với người dùng thông qua giao diện Web – Command line interface: dùng msfcli Metasploit Enviroment: – Global Enviroment: Được thực thi thông qua câu lệnh setg unsetg, options gán mang tính tồn cục, đưa vào tất module exploits – Temporary Enviroment: Được thực thi thông qua câu lệnh set unset, enviroment đưa vào module exploit load tại, không ảnh hưởng đến module exploit khác Chúng lưu lại enviroment cấu hình thơng qua lệnh save Mơi trường lưu /msf/config load trở lại user interface thực Sử dụng Metasploit Framework: - Chọn module exploit: Lựa chọn chương trình, dịch vụ lỗi mà Metasploit có hỗ trợ để khai thác Show exploits: xem module exploit mà framework có hỗ trợ Use exploit_name: chọn module exploit Info exploit_name: xem thông tin module exploit Tải FULL (16 trang): bit.ly/2Ywib4t Chúng ta nên cập nhật thường xuyên lỗi dịch vụ module www.metasploit.com qua lệnh msfupdate svnupdat/opt/metasploit/msf3/ a, Cấu hình Module exploit chọn: show options: Xác định options cần cấu hình set: cấu hình cho option module Một vài module cịn có advanced options, xem cách gõ dòng lệnh show advanceds b, Verify options vừa cấu hình: check: kiểm tra xem option set xác chưa c, Lựa chọn target: show targets: target cung cấp module set: xác định target d, Lựa chọn payload: show payloads: liệt kê payload module exploit info payload_name: xem thông tin chi tiết payload set payload payload_name: xác định payload module name Sau lựa chọn payload nào, dùng lệnh show options để xem options payload show advanced: xem advanced options payload e, Thực thi exploit: exploit: lệnh dùng để thực thi payload code Payload sau cung cấp cho thơng tin hệ thống khai thác 2.2 Kiểm tra cổng dịch vụ mở máy mục tiêu Nmap (Network Mapper) công cụ mã nguồn mở miễn phí nhằm phát mạng kiểm tốn an ninh Nmap Zenmap (Công cụ hỗ trợ đồ họa nmap) cài đặt sẵn BackTrack, sử dụng gói tin IP giúp xác định host có sẵn mạng, dịch vụ (tên ứng dụng phiên bản) mà host cung cấp, hệ điều hành (và phiên hệ điều hành) mà họ chạy, loại lọc gói tin tường lửa sử dụng, nhiều Tải FULL (16 trang): bit.ly/2Ywib4t đặc điểm khác Nmap chạy tất hệ điều hành, gói nhị phân thức có sẵn cho Linux, Windows, Mac OSX Sau xác định host có mạng, ta sử dụng cơng cụ qt lỗi hệ thống để xác định lỗ hổng hệ thống muốn xâm nhập, từ khai thác truy cập vào hệ thống Một số công cụ quét lỗi Nessus Một xâm nhập thành cơng chiếm tồn quyền điều khiển hệ thống, Hacker thực việc máy nạn nhân down/upload files, thay đổi cấu trúc hệ thống, thực thi chương trình, đánh cắp mật khẩu, cài trojan/ backdoor … Sử dụng nmap: Sử dụng lệnh sau để kiểm tra: Nmap –p80 http-vuln-cve2015-1635.nse [IP] Sử dụng nmap chạy file http-vuln-cve2015-1635.nse để kiểm tra xem hệ thống có tồn lỗ hổng CVE-2015-1635 hay không: Source file http-vuln-cve2015-1635.nse: local shortport = require "shortport" local http = require "http" local stdnse = require "stdnse" local string = require "string" local vulns = require "vulns" description = [[Checks for a remote code execution vulnerability (MS15-034) in Microsoft Windows systems (CVE2015-2015-1635) The script sends a specially crafted HTTP request with no impact on the system to detect this vulnerability The affected versions are Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, and Windows Server 2012 R2 References: * https://technet.microsoft.com/library/security/MS15-034 ]] @usage nmap -sV script vuln @usage nmap -p80 script http-vuln-cve2015-1635.nse @usage nmap -sV script http-vuln-cve2015-1635 script-args uri='/anotheruri/' @output PORT STATE SERVICE REASON 10 ... HTTP. sys Remote Code Execution Vulnerability - CVE-20151635 Aggregate Severity Rating Windows Windows for 32-bit Systems Service Pack (3042553) Critical Remote Code Execution Critical Windows... Critical Remote Code Execution Critical Windows Server 2008 R2 Windows and Windows 8.1 Windows Server 2012 and Windows Server 2012 R2 Windows Server 2012 (3042553) Critical Remote Code Execution. .. x64-based Systems Service Pack (3042553) Critical Remote Code Execution Critical Windows for 32-bit Systems (3042553) Critical Remote Code Execution Critical Windows for x64-based Systems (3042553)