☻Dự báo đường dẫn tên mã hóa là SYSTEM Tính phổ biến:

Một phần của tài liệu Tài liệu Chương 6: Đột nhập bằng Windows 2000 ppt (Trang 26 - 29)

Tính phổ biến: 4 Tính giản đơn: 7 Tính hiệu quả: 10 Mức độ rủi ro: 7

Được khám phá bởi Mike Schiffman và gửi cho Bugtraq (ID 1535), khả năng dự đoán về việc chế tạo ký hiệu ống dẫn có tên khi Windows 2000 bắt đầu hệ thống dịch vụ (như Server, Worksation, Alerter và ClipBook đều được nhập vào dưới trương mục SYSTEM) được khám phá từ điểm yếu trong leo thang đặc quyền cục bộ khi. Trước khi mỗi dịch vụ đươc bắt đầu, một ký hiệu ống dẫn có tên cạnh máy chủ được tạo ra với một chuỗi tên có thể dự đoán được. Chuỗi này có thể thu được từ khoá Registry HKLM\System\CurrentControlSet\Control\ServiceCurrent.

Vì vậy, bất kỳ ai sử dụng Windows 2000 đã được nhập tương tác (bao gồm cả những người sử dụng Terminal Server từ xa ) có thể dự đoán tên của một chuỗi ký hiệu ống dẫn có tên. Minh họa và áp dụng nội dung an ninh của SYSTEM sẽ được trình bày vào lần sau. Nếu một mã tùy chọn nào đó được cài đặt vào ký hiệu ống dẫn, nó sẽ vận hành với các đặc quyền SYSTEM, làm cho nó chỉ có khả năng thực hiện đối với hệ thống cục bộ (vídụ: bổ sung thêm người sử dụng hiện thời vào nhóm Administrator).

Khai thác điểm yếu trong dự đoán ký hiệu ống dẫn có tên là trò chơi của trẻ em khi sử dụng công cụ PipeUpAdmin từ Maceo. PipeUpAdmin bổ sung trương mục người sử dụng hiện thời vào nhóm Administrator cục bộ, như được trình bày ví dụ dưới đây. Ví dụ này thừa nhận Wongd người sử dụng là đã được xác minh với việc tiếp cận tương tác với bàn giao tiếp người-máy bằng lênh. Wongd là một thành viên của nhóm điều khiển Server Operators. Trước hết, Wongd kiểm tra hội viên của nhóm Administrators cục bộ nắm mọi quyền lực.

C:\>net localgroup administrators Alias name administrators

Comment administrators have complete and unrestricted access to the Computer/domain

--- ----

Administrator

The command completed successfully.

Sau đó, Wongd tự nhập vào Administrators, nhưng lại nhận được thông báo từ chối tiếp cận do thiếu đặc quyền.

C:\>net localgroup administrators wongd/add System error 5 has occurred

Access is dinied

Tuy nhiên, anh hùng wongd chưa bị tấn công. Anh ta tích cực tải PipeUpAdmin về từ trang web (http:// www.dogmile.com/files), và ứng dụng C:\>pipeupadmin

PipeUpAdmin

Maceo<maceo @dogmile.com> © Copyright 2000-2001 dogmile.com The ClipBook service is not started

More help is available by typing NET HELPMSG 3521. Impersonating: SYSTEM

The account: FS-EVIL\wongd

has been added to the Administrators groups

Sau đó, Wongd chạy lệnh Net Localgroup và tự xác định đúng vị trí mà anh ta muốn.

C:\>net localgroup administrators Alias name Administrators

Comment Administrators have completed and unrestricted access to the Computer/domain Members --- Administrator Wongd

The command completed successfully.

Hiện tại, tất cả những gì wongd phải thực hiện để tận dụng đặc quyền của Administrator tương đương là thoát và đăng nhập lại. Nhiều trường hợp khai thác sự leo thang đặcquyền phải có yêu cầu đó, vì Windows 2000 phải xây dựng lại mã thông báo tiếp cận của người sử dụng hiện thời nhằm bổ sung thêm SID cho thành viên nhóm mới. Mã thông báo có thể được sử dụng lệnh gọi API mới, hoặc đơn giản bằng cách tắt máy rồi sau đó xác nhận lại. (xem phần thảo luận về mã thông báo tại chương 2).

Chú ý công cụ PipeUpAdmin phải được chạy trong phạm vi người sử dụng INTERACTIVE. (co nghĩa là bạn phải nhập vào hệ tại bàn phím vật lý, hoặc thông qua một trình tiện ích điều khiển từ xa với trạng thái INTERACTIVE, ví dụ như thông qua Terminal Services). Điều này ngăn chặn PipeUpAdmin được chạy qua các trình tiện ích điều khiển từ xa các trình tiện ích này đã xuất hiện mà không có INTERACTIVE SID trong mã thông báo.

Sa cha kh năng d đoán ký hiu ng dn có tên

Microsoft đã đưa ra một giải pháp ứng phó tạm thời nhằm thay đổi việc Windows 2000 Service Control Manager (SCM) tạo ra và phân bố ký hiệu ống dẫn như thế nào. Bạn có thể tìm hiểu thêm chi tiết tại địa chỉ: http:// www.microsoft.com/technet/security/bulletin/MS00-053. asp. Giải pháp ứng phó tạm thời này không nằm trong Service Pack 1 và vì thế có thể được áp dụng cho cả máy chủ trước và sau SP1.

Tất nhiên, những đặc quyền đăng nhập tương tác đã bị giới hạn tới mức tối đa cho bất kỳ một hệ thống nào có chưa dữ liệu dễ bị tấn công do việc tận dụng như vậy trở nên dễ dàng hơn nhiều một khi giới tin tặc đạt được vị trí nguy hiểm đó. Để kiểm tra việc đăng nhập tương tác ngay dưới Windows 2000, chạy applet Security Policy (cục bộ hoặc nhóm), tìm nút chỉ định chính sách cục bộ\ quyền sử dụng, và kiểm tra quyền Log On Locally được định hình như thế nào.

Windows 2000 có cái mới lànhiều đặc quyền hiện đã có bản sao cho phép các nhóm cụ thể hoặc người sử dụng không có quyền đó. Trong ví dụ này, bạn có thể sử dụng quyền Deny Logon Locally, như sau:

Chú ý:Theo mặc định, nhóm Users và trương mục Guest có quyền Log On

Locally trong Windows 2000 Professional và các máy chủ Windows 2000 không kết nối. DC hạn chế hơn do chính sách Default Domain Controllers (Mạch điều khiển miền mặc định) gắn liền với sản phẩm. (mặc dù tất cả nhóm Operator máy đều có quyền đó.) Chúng tôi đề nghị tháo gỡ Users và Guest trong bất cứ trường hợp nào và cân nhắc kỹ lưỡng những nhóm nào khác có thể mất đi đặc quyền đó.

☻Vi phạm truy nhập xuyên trạm công tác

Tính phổ biến: 4 Tính giản đơn: 7 Tính hiệu quả: 10 Mức độ rủi ro: 7

Hầu hết các quản trị Windows không chấp nhận các trạm công tác trong Windows, có lẽ đây là một trong những vấn đề khó hiểu nhất trong chương trình Windows. Mô hình an ninh Windows 2000 xác định sự phân cấp các contenơ để xác lập các đường biên an ninh trong các quá trình. Sự phân cấp đó, từ lớn nhất đến nhỏ nhất như sau: Phiên, Trạm công tác, và màn hình. Phiên bao gồm một hoặc nhiều trạm công tác, những trạm công tác này bao gồm một hoặc nhiều màn hình. Theo thiết kế, qúa trình xử lý bị hạn chế chạy trong một trạm công tác, và các chuỗi trong quá trình xử lý chạy trong một hay nhiều màn hình. Tuy nhiên, do một lỗi trong khi thực hiện, đó không phải là trường hợp của phiên bản đầu tiên của Windows 2000. Trong các trường hợp đặc biệt, một quá trình đặc quyền thấp hơn chạy trong một màn hình có thểđọc được thông tin của một màn hình ở trạm làm việc khác có cùng Phiên. Kết quả là người sử dụng bịảnh hưởng đăng nhập vào Windows 2000 có thể tương tác với các quá trình có Phiên giống nhau. (chú ý: thao tác này không cho phép nhiều người tương tác với đăng nhập Terminal Server của người sử dụng khác vì họ có Phiên tách rời nhau.) Họ cũng có thể tạo ra môt quá trình trong trạm làm việc khác. Tuy nhiên, nó không rõ là họ có thể thực hiện thao tác nào thậm chí quá trình đã được tạo ra có đặc quyền SYSTEM. Mặc dù vậy, rất ít trường hợp giới tin tặc có thể đọc được màn hình và dữ liệu vào bàn phím.

Một phần của tài liệu Tài liệu Chương 6: Đột nhập bằng Windows 2000 ppt (Trang 26 - 29)

Tải bản đầy đủ (PDF)

(65 trang)