شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها

[خوبی کن]

شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها (قسمت اول)

عليرضا خراساني
iritn

عمده ترين حملات موفقيت آميز هکرها روي سيستم عامل ويندوز تنها از چندين حفره موجود روي برنامه ها انجام مي گيرد. به تعبيري مي توان گفت هکرها فرصت طلب هستند که آسان ترين مسير را انتخاب کرده اند و از روي شکافهاي شناخته شده exploit خود را صورت مي دهد و بعد به طور گسترده اي از برنامه هاي ساخته شده براي به انجام رساندن عمليات خود بهره مي گيرند. معمولا هم به سراغ سايت هاي متعلق به سازمان هاي بزرگ مي روند و ابتدا به ساکن سيستم و شبکه آنها را اسکن مي کنند و باقي قصه را هم که حتما مي دانيد. در اين ميان فهرست کردن حفره ها و برشمردن آنها کار طاقت فرسايي است ؛ اما مي توان گزيده اي از مهمترين آنها را جمع آوري کرد و ضمن بررسي حفره ها به نحوه بستن آنها نيز نگاهي دقيق تر داشت.

از همين رو با هدف امن تر کردن سيستم ها و سرورها سلسله مباحثي در اين شماره و شماره هاي آتي از نظرتان مي گذرد:
1- سرويس IIS :
برنامه IIS مايکروسافت (internet information services)از ديرباز عمده ترين حفره ها را در خود جاي داده و بالطبع نيز بيشترين حملات را به سوي خود جلب کرده است.

حفره پذيري IIS تقريبا در 3کلاس فرعي قابل دسته بندي است : يکي قصور به سوي به کار گرفتن درخواست هاي غيرقابل پيش بيني ، دوم سرريز شدن ضربات از ضربه گير ( bufferoverflow ) و سوم اپليکيشن هاي ساده.


الف : بسياري از حملات روي IIS براساس اين حفره که مي توان درخواست هاي نافرم HTTP را براي به کار گرفتن درخواست هاي غيرقابل پيش بيني استفاده کرد، صورت مي گيرد. يک مثال خيلي ساده وجود يک حفره در تراورسال دايرکتوري يونيکد بود که براحتي به ويروس codeBlue اجازه نفوذ مي داد. يعني درخواست يا Request به ظاهر قانوني بوده ؛ اما به عنوان يک نيرنگ به صورت exploit از آن سوءاستفاده شده و با آن کنترل رايانه در اختيار حمله کننده مي افتاده است.

پس IIS اجازه مي دهد تا با حفره اي که حمل مي کند اجازه ارسال درخواست هاي نافرم را از طريق HTTP به هکر بدهد و وي نيز با ارسال اين درخواست به ظاهر قانوني کنترل سيستم را به عهده بگيرد.
ب: سرريز کردن ضربات و پشت سر نهادن ضربه گيرهاي تعريف شده از ديگر حفره هاي موجود در IIS است که روي الحاقات سيستم مانند پرينتر ، ISAPI و ASP و... خود را نشان مي دهد. مثلا ويروس codeRed از الحاقي idq براي بافر شدن بهره مي گرفت و زمينه حملات Dos روي سيستم را فراهم مي کرد.
ج: اپليکيشن هاي ساده اغلب روي محيطهاي سرور خود را نشان مي دهند و تحمل حملات را نيز ندارند. در اين ميان Default تعريف شده روي IIS به عنوان اولين راه نفوذ روي سرورها مدنظر هکرها قرار مي گيرد. به عنوان مثال يک اپليکيشن ساده نظير newdsn.exe اجازه مي دهد که هکر حملات از راه دور خود را براي نوشتن مجدد فايل هاي سرور انجام دهد. برخي ديگر از اپليکيشن ها که وظيفه جمع آوري ديتاي حياتي نظير کلمه عبور را دارند نيز مورد سوئاستفاده هکرها قرار مي گيرند و يا مثلا يک فايل ism.dll يا iisadmin اگر به دست هکر بيفتد، مي تواند در نقش راهبر سيستم کل سرور را هک کند. بيشترين سيستم عامل هايي که از طريق IIS مورد حمله قرار گرفته اند NT نسخه 4 است که روي آن IIS4 نصب است.

بعدي سرور 2000است که روي آن IIS5 نصب است و ديگري نيز ويندوز xp است که روي آن IIS1.5 نصب شده است.

از چه راهي مي توانيم ببينيم IIS ما حفره پذير شده است؟

 

[خوبی کن]

شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها (قسمت دوم)

عليرضا خراساني

حال به طور عملي به سرور خود مراجعه كنيد و بسته به نوع سيستم عاملي كه داريد شاخه هاي مورد نظر را در رجيستري چك نماييد: در ويندوز NT نسخه 4:

HKEY -LOCAL-MACHIE\ software\Microsoft\windows NT\ currentversion\ Hotfix\Q319733

در ويندوز ان تي نسخه ترمينال سرور به همان آدرس بالا ; ولي در زيرشاخه Q317636 بعد از زيرشاخه Hotfix مراجعه كنيد. در ويندوز 2000 به آدرس زير مراجعه نماييد:

HLM\software\Microsoft\updates\windows2000\sp3\Q319733

و در ويندوز xp نيز به آدرس زير مراجعه كنيد:

HLM\software\Microsoft\updates\windows xp\sp1\Q319733

به عنوان راه بديل براي چك كردن IIS از نظر وجود حفره مي توانيد از برنامه HFNetchy استفاده كنيد و با آن به طور خودكار حفره ها را بيابيد. (برنامه را مي توانيد از سايت مايكروسافت دانلود كنيد)
www.microsoft.com/technet/security/tools/hfnetchk.asp

در اين شاخه ها اگر هر كدام از فايلهاي زير در شاخه wwwroot%/scripts % يا روي D:\web\scripts روي دايركتوري ها وجود داشت ، بدانيد از اين برنامه ها براي exploit سوء استفاده مي شود:

code.asp 
codebrws.asp 
ism.dll 
newdsn.exe 
viewcode.asp 
minmsdp.exe

راه چاره : براي نابودي اين حفره مي توانيد از روشهاي زير استفاده كنيد:
1- نصب تمام پس دستورهاي لازم : براي رفع حفره روي IIS 4 روي ويندوز NT4 بايد سرويس پك 6 را نصب كنيد و به آدرس زير مراجعه نماييد:

microsoft.com/ntserver/nts/downloads/security/q321599

براي نسخه ترمينال سرور نيز به مانند بالا عمل كنيد.
براي ويندوز 2000 نيز بايد سرويس پك 3 را در آدرس زير بگيريد و آن را فيكس كنيد:
]

microsoft.com/windows2000/downloads/servicepacks/sp3

در ويندوز xp نيز به آدرس زير مراجعه كنيد:

microsoft.com/windowsXP/Pro/downloads/servicepacks/spl

2- استفاده از نرم افزار hfnetchk در كنار نصب پس دستورهاست كه آخرين حفره هاي كشف شده و بدون پس دستور را براي شما گزارش مي كند.
3- حذف كردن كامل اپليكيشن هاي ساده شامل ابزارهاي موسوم به iisadmin كه ممكن است از آن سوءاستفاده شود و بنابراين معمول آن اين است كه حذف شود. اين ابزار در دايركتوري wwwroot%/scripts يافت مي شود. ايده آل اين است كه راهبر اين ابزار ساده را روي سرور خود RUN نكند تا ميزان ريسك كاهش يابد.
4 - عدم گزينش الحاقي هاي ISAPI. بيشتر IISها الحاقي هاي ISAPI كه مورد نياز نيست را به صورت Default روي سرور MAP مي كنند، به وسيله الحاقي هايي مانند:
printer. ، ism. ، idq. و... به طور اكيد توصيه مي شود كه اين گونه الحاقي ها اگر مورد نياز نيست ، بلافاصله unmap شود.
اين كار را به طور دستي مي توان انجام داد ; اما نرم افزار IIS Lockdown wizard متعلق به خود مايكروسافت بهتر مي تواند آن را انجام دهد. براي دانلود كردن آن به آدرس زير مراجعه كنيد و با نصب آن تمام الحاقي هاي غيرضروري را unmap كنيد:

http://www.microsoft.com/technet/security/tools/Locktool.asp​

 

[خوبی کن]

شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها (قسمت سوم)

5- نصب يک فيلتر بر سر راه درخواست هاي مخرب روي HTTP : بسياري از حفره هاي شناخته شده که کرمهايي نظير Code Blue يا Code Red از آن بهره مي گيرند مربوط به اين حفره روي IIS هست اما مي توانيد يک فيلتر قوي جلوي ارسال هرگونه درخواست مخرب بگذاريد و جلوي نفوذ را بگيريد. خود مايکروسافت براي اين کار استفاده از نرم افزار URLSCAN را توصيه مي کند که مي توانيد از آدرس زير آن را برداريد و روي سرور و ماشين خود اجرا کنيد:

microsoft.com/technet/security/tools/Locktool.asp​

2- دومين حفره بزرگ کامپوننت هاي روي ديتااکسس مايکروسافت ( MDAC ) است.

سرويس ديتاي از راه دور يا RDS جزو مولفه هاي اصلي روي ديتااکسس نسخه هاي قديمي است. روي اين برنامه شکافي وجود دارد که به کاربران از راه دور اجازه مي دهد فرمان هايي را در حد راهبر سيستم به اجرا بگذارند.
اين در حفره در Jet database engine 3.5 روي برنامه اکسس قرار گرفته است و اين exploit به هر کاربر ناشناس يا anonymous خارجي اجازه دسترسي به ديتاي داخلي را مي دهد.(با نصب نسخه بالاتر حفره برطرف مي شود). از اين حفره به مدت 2سال در بسياري از حملات هکري استفاده شد اما جلوي بيشتر آنها از سوي مايکروسافت با دستورالعمل هاي لازم بسته شد.
سيستم هاي قديمي و راهبراني که با اين حفره آشنا نبوده و نيستند هنوز در معرض خطرند و از اين ناحيه هک مي شوند.
اغلب ويندوزهاي NT با IIS نسخه 3 و 4 و نيز RDS نسخه 5/1 يا ويژوال استوديو نسخه 6 تحت تاثير اين حفره و نفوذپذير هستند.
اگر NT نصب کرده ايد دنبال يک فايل به نام msadcs.dll بگرديد و بدانيد که حفره ذکر شده از طريق اين DLL سيستم شما را تهديد مي کند. خود مايکروسافت چندين بولتن امنيتي در اين باره منتشر کرده است. براي رفع حفره مي توانيد به نشاني هاي زير مراجعه کنيد:

http://support.microsoft.com/support/ kb/articles/q184/3/75.asp
http:// http://www.microsoft.com/technet/security/bulletin/ms98- 004.asp
http://www.microsoft.com/technet/security/bulletin/ms 99- 025.asp

بهترين راه چاره به روز کردن MDAC است. اگر اين کار را روي ماشين سرور خود که NT دارد انجام دهيد همه مشکلات حل مي شود براي دانلود کردن آن به نشاني زير مراجعه کنيد:
www.microsoft.com/data/Download.htm

يکي از راهها، رفتن به شاخه زير در رجيستري و ساختن يک پوشه به ارزش DWORD است.
نام پوشه را بايد HandlerRequired بگذاريد و value آن را به يک (1) تغيير دهيد:

HKEY-LOCAL-machine\Software\Microsoft\DataFactory\HandleriNFO

ورودي ديگر در نشاني هاي زير در رجيستري را کاملا پاک کنيد:

HKEY-CLASSES-ROOT\Microsoft.jet.OLEDB.3.51

 

[iranexplorer.net]

بحث خوبی رو دنبال کردین. خیلی ممنونم.

 

[خوبی کن]

بحث خوبی رو دنبال کردین. خیلی ممنونم.

شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها(قسمت چهارم)


سومين حفره بزرگ در ويندوز وجود سوراخ هاي متعدد و بزرگ روي مايکروسافت اسکيوئل سرور (MSSQL) است که به کاربر از راه دور، اجازه دسترسي به اطلاعات حساس سرور و سيستم هاي وابسته ، دسترسي به بانک اطلاعاتي و پيکره بندي اطلاعات را به آساني مهيا مي کند. کرم بزرگي که در ماه مه 2002 روي اسکيوئل آمد، حفره بزرگي را روي اين سرور مايکروسافت آشکار کرد و البته سيستم هاي زيادي را نيز مبتلا کرد. اولين کاري که اين کرم انجام مي داد، اين بود که به يک ميزبان دستور مي داد تا در ترافيک شبکه اخلال ايجاد کند. پورت1433 (که پورت تعريف شده اسکيوئل سرور است) مرکز اين حملات به شمار مي رود و با اسکن کردن اين پورت و افتادن آن به دست هکر حمله آغاز مي شود. براي اطلاعات بيشتر به سايت زير مراجعه کنيد:

www.cert.org/advisories/CA-2002-22.html


سيستم هايي که روي آن اسکيوئل سرور نسخه 7و يا اسکيوئل 2000يا اسکيوئل سرور دسکتاپ انجين 2000 نصب شده ، آماده حفره پذيري هستند. براي تشخيص حفره پذيري سيستم ، ابتدا شاخه رجيستري ويندوز خود به آدرس زير را چک کنيد:

HKEY-LOCAL-MACHINES\Software\Microsoft\ 
MSSQLserver\serverMSSQL

هر نوع برنامه SQL که به روز نشده و هيچ گونه پس دستوري روي آن نصب نشده به احتمال قوي آسيب پذير است.

براي تشخيص اين موضوع بهترين راه ، استفاده از تحليلگر حفره هاي مايکروسافت ( MBSA ) است که به راحتي حفره هاي اسکيوئل نسخه 7و 2000را تشخيص مي دهد. براي نصب اين تحليلگر گرافيکي به آدرس زير مراجعه کنيد:

microsoft.com/tecnet/security/tools/MBSAhome.asp

براي حمايت از اسکيوئل خود ابتدا آخرين پس دستورها و سرويس پک ها را روي آن نصب کنيد و بعد سرور خود را در سيستم شبکه کاملا ايمن نماييد.

www.microsoft.com/sql/downloads/2000/sp2.asp
www.microsoft.com/sql/downloads/sp4.asp


يکي از حملات شايع حمله روي اکانت موسوم به sa است که با يک پسورد جاي خالي اجازه دسترسي همگان در حد راهبر را به سرور مي دهد. اگر شما اکانت saرا داريد، مطمئن باشيد که با دست خودتان سيستم را باز گذاشته تا انواع کرمها به سيستم نفوذ کنند و هکرها ماشين شما را براحتي دور بزنند. اگر يک کلمه عبور بسيار قوي و نيرومند براي آن تهيه کنيد ، مي توانيد از اين خطر مصون بمانيد.

microsoft.com/sql/techinfo/productdoc/2000/books.asp


خود مايکروسافت نحوه تعويض saرا داده و حتي نحوه Login کردن را نيز آموزش داده است و از آن مي توانيد استفاده کنيد.

msdn.microsoft.com/library/en-us/modadmin/html/deconchangingsqlserveradministratorlogin.asp


اسکيوئل خود را تحت يک دومين معتبر و نه دومين administrator بالا بياوريد که کمترين ريسک را به جان بخريد. همه تاييديه هاي سيستم ( authentication ) را مجددا پيکره بندي کنيد و انواع اديت از سوي کاربران را چک نماييد. اگر مجبوريد از پورت 1433يا 1434روي دروازه اينترنت شبکه خود استفاده کنيد، بايد يک فيلترينگ قوي روي اسکيوئل خود و روي اين پورتها نصب کنيد

 

[خوبی کن]

شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها (بخش پنجم)

عليرضا خراساني

در اين شماره پنجمين راه ( Net Bios ) عمده نفوذ به ويندوز و راه بستن آن را مي گوييم.

ويندوز مايکروسافت وقتي روي سيستمي نصب مي شود به ماشين ميزبان اجازه مي دهد تا فايلها و دايرکتوري هاي خود را براساس شبکه و از طريق ارتباط با ساير ميزبانها به اشتراک بگذارد و به اصطلاح Share کند. مکانيزمي که براي اين کار در نظر گرفته شده پروتکل (SMB (sever message block يا common internet file system است.

اين پروتکل ها اجازه مي دهند تا يک ميزبان بامهارت کامل فايلها را به صورت از راه دور کنترل کامل کند. اگرچه اين ويژگي براي مايکروسافت يک برتري و فناوري جذاب و نوين محسوب مي شود؛ اما اشتراک گذاري فايلها به طريقه ناشيانه ممکن است فايلهاي حياتي را بي پناه بگذارد يا اجازه بدهد تا يک هکر با اجرا کردن يک برنامه کنترل کامل ماشين ميزبان را به طريقه از راه دور در دست بگيرد. يکي از راههاي عمده نفوذ ويروس سيرکام و نيمدا در تابستان 2001، سوئاستفاده از همين شيوه بود تا هکر بتواند به فايلهاي ميزبان به طور کامل دسترسي يابد و بسياري از راهبران بي اطلاع خود جاده صاف کن نفوذگران شده اند و با آسان کردن راه دسترسي کاربران تنبل خود به فايلها به راحتي اجازه دور زدن سيستم را صادر مي کنند، اما راهبران آگاه با پيکره بندي مناسب روي شبکه به نحو مطلوبي فايلهاي اشتراک گذاشته شده را تعريف مي کنند و ريسک نفوذ را به کمترين حد مي رسانند. تمام آنچه که در بالا گفته شد به Net Bios سيستم و بي حفاظ ماندن آن برمي گردد و در اين ميان تمام نسخه هاي ويندوز از 95 گرفته تا xp در معرض تهديد سيستم اين حفره قرار مي گيرند. براي آگاهي از سوراخ بودن سيستم بهترين راه اسکن کردن ماشين با ابزار MBSA مايکروسافت است که قبلا در مورد آن شرح داده شد. تنها نکته قابل توجه اين که با تحليلگر حفره هاي مايکروسافت ( MBSA ) از هر 2طريق محلي ( LAN ) و از بيرون از شبکه تست را انجام دهيد. شبکه هاي تجاري بايد بسيار در اين زمينه محتاط باشند، چرا که از بودن فايلها بلاي ناگهاني تلقي مي شود. يکي از سايتهاي معتبر نيز مي تواند باز بودن شبکه تان را به صورت يک گزارش با برنامه SMB مختصر و مفيد برايتان از روي اينترنت بگويد که مي توانيد به اين آدرس مراجعه کنيد: http://grc.com مايکروسافت معمولا جزييات خوبي را در قسمت Help ارائه کرده است.

نکته ديگر آن که برخي موارد SMB به شما مي گويد که آسيب پذير نيستيد؛ اما shieldsup مي گويد، هستيد. کارشناسان مي گويند به دومين گزارش بايد بيشتر بها دهيد. اما راه چاره براي در امان بودن انواع حملات از اين طريق پيکره بندي مناسب فايلهاي به اشتراک گذاشته شده از سوي راهبر است.

اگر نيازي به shareدر شبکه نداريد، حتما قيد آن را بزنيد. از داخل control panel خود share شبکه را حذف کنيد

 

[خوبی کن]

شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها (قسمت ششم)

اگر xp داريد فايروال آن را به کار اندازيد (اين کار باکليک راست روي منوي شبکه و گرفتن properties ميسر است.

بعد به سراغ networking برويد و پروتکل TCP را آبي کنيد و از روي آن properties بگيريد و به داخل advanced برويد. سپس روي منوي wins برويد و NetBios خود را کاملا disable کنيد.
اگر مودمي هستيد در روي منوي شبکه تيکي به نام client for microsoft را برداريد و بعد به عنوان يک کاربر روي درايوها برويد و با گرفتن properties ابتدا Security را برگزينيد و فهرست everyone و... را بسته به کار خود حذف کنيد.
از راه Groupe policy editor و از روي Administrator tools در control panel نيز مي توانيد آن را انجام دهيد.
وقتي روي اينترنت هستيد با account ، Admin خود صفحات وب را مرور نکنيد ؛ بلکه يک User عادي تعريف کنيد و با آن روي اينترنت برويد.
به Shareهاي بي هويت اجازه ورود ندهيد و فورا آنها را disable کنيد.
اگر مجبور شديد يک فايل جديد و بي مصرف را روي درايو غيربرنامه اي خود بسازيد و آن را share کنيد ، اجازه دسترسي کامل را از کاربر خود بگيريد.
يک IP ويژه به آن اختصاص دهيد؛ اما نام DSN خود را طور ديگري برگزينيد و در آخر پورتهايي که sharing ويندوز از آن استفاده مي کنيد را ببنديد.
پورت نت بايوس را طبق گفته قبلي از کار بيندازيد و يک فايروال قوي پشت روتر و سيستم بگذاريد تا خطاها کمتر شود.
پورتهايي که بايد از کار بيفتد 137 و 139 روي TCP و 137 و 139 روي UDP و 445 روي TCP و UDP هستند.
5- راه بعدي نفوذ به نفوذ به ويندوز از طريق وارد شدن به سيستم به طريقه ناشناس و بي نام (anonymous Logon) است.


نحوه ورود از طريق ناشناس به وسيله ارتباطات پوچ يا (Null session) انجام مي گيرد.
با اين کار دسترسي به فايلهاي به اشتراک گذاشته شده روي شبکه فهرست کاربران در دسترس قرار گرفته و کاربرناشناس بدون گرفتن تاييديه وارد سيستم مي شود.
معمولا از محيط اکسپلورر روي ويندوز و تست کردن فرمان هاي مورد نظر مي توان چنين کاري را انجام داد.
در ويندوز 2000 و NT و XP، Logon کردن به ماشين از طريق Accuont System کار سختي نيست.


معمولا اکانت سيستم به هنگام بحراني شدن ماشين استفاده شده تا کاربر بتواند وارد سيستم شود و اطلاعات خود را بازيابي کند.
در واقع وقتي يک کاربر مي خواهد ديتاي خود را از يک ماشين بازيابي کند ، Accuont System فعال شده و اجازه مي دهد تا از طريق کنترل از راه دور وارد سيستم شود.
مثلا وقتي کلمه عبور را گم مي کنيد و راهبر مجددا آن را برايتان پست مي کند در واقع logon از طريق Accuont System و از روي ماشين راهبر انجام مي شود.
Accuont System نيازي به داشتن کلمه عبور ندارد؛ اما نمي تواند درون ساير سيستم ها برود و تنها روي همان ماشين حمله انجام مي گيرد.
پس هکر درون Null session نفوذ مي کند.
بر روي سايتهاي هکري انواع مدلهاي نفوذ به سيستم از طريق Null session ذکر شده است.


مثلا با دستور زير مي توانيد روي يک رايانه نحوه ورود به Null session را تست کنيد:
''''net use \\a.b.c.d\ipc$''''/user
در اين صورت a.b.c.d همان IP مورد نظر شماست و user نيز همان اسم کاربري که شما به آن logon کرده يا خواهيد کرد ، است.


اگر اين دستور جواب داد ، بدانيد سيستم شما کاملا آسيب پذير است و اگر جواب خطا را براي شما پس فرستاد، بدانيد سيستم شما نفوذ ناپذيراست.


سايت زير معمولا روي اين مباحث به صورت کاملا علمي کار مي کند و تازه ترين حفره ها را از اين طريق روي سيستم هاي NT مي شناساند:

http://www.foundstone.com

 

[خوبی کن]

شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها (بخش هفتم)

اولين قدم براي بستن اين راه نفوذ، تخريب هرگونه اکانت به صورت anonymous است که بايد حتما در نظر راهبران قرار گيرد. Domain controler احتياج شديدي به Null session دارد و تخريب کامل آن کار درستي نيست ؛ اما مي توان ميزان حملات را به صفر رساند. براي اين کار بايد Valuedata در شاخه رجيستري زير را حتما به 1(يک) تبديل کنيد تا آسيب نبيند.

HKEY-LOCAL MACHINE\system\current controlset\contorol\LSA\Restrict Anonymous


پس پوشه Restrict Anonymous را بازکنيد و داخل آن عدد 1 تايپ نماييد و ok کنيد. (اين پوشه به صورت Dword تعريف شده است). هنگام اين تغيير ابتدا سيستم هنگ مي کند اما با يک بار خاموش و روشن کردن همه چيز درست مي شود. داشتن يک پشتيبان از هارد نيز ضروري است.

چرا که بعضي وقتها يک اسب تروا روي سيستم مي نشيند که اگر اين تغيير انجام شود همه چيز را به هم مي ريزد. روي شبکه توصيه مي شود ماشين هايي که اينترنت را مي بينند به اين سيستم مجهز شوند. تاکيد مي شود که هيچ کاربري روي شبکه نبايد به Domain controler دسترسي داشته باشد و اصلا حق ندارد که يک کاربر خارجي تعريف کند. حفره بزرگ بعدي در ويندوز وجود آسيب پذيري در سيستم تصديق روي LAN Manager است. اگرچه سيستم هاي کنوني ويندوز نياز به اين سيستم ندارند ؛ اما ذخيره شدن کلمه عبور LANMAN hashes آسيب و خطر عمده اي به شمار مي آيد که روي ويندوز ان.

تي ، 2000 و XP وجود دارد. به دليل انکريپت ضعيف روي سيستم هاي NTLM و NTLM2 ، کلمه هاي عبور روي LANMAM براحتي در عرض کمتر از چند دقيقه شکسته مي شوند و کلمه هاي عبور سخت تر به دليل ضعف در سيستم ورودي و خروجي سخت افزاري قابل نفوذ مي شوند. ( hash ، يک الگوريتم به کار رفته روي محاسبات رياضي يکطرفه است که اجازه ورود ديتاها با حجم بالا و مخلوط را با هم به روي سيستم مي دهد و هرگونه تغيير در ورودي ديتا تغيير در hash نيز محسوب مي شود. ازجمله ديتاها ورود يک پيام به سيستم است که با يک hash چندين ورودي قابل اطمينان را مي سازد. مثلا MD5 يک استاندارد يکطرفه با فهرست hash 128بيتي است که به وسيله RSA توسعه يافته است و در آن ديتاها روي پروتکل PPP براحتي قابل تصديق (Authentication) مي شوند. پروتکل NTLM نيز که اولين بار روي N.T به صورت Default به کار رفت ، يک پروتکل تصديق براساس سيستم مبارزه پاسخ نباشد. ضعف در LM hashها مي تواند براساس مباني زير اتفاق بيفتد. مثلا کلمه هاي عبور کمتر از 14حرف باشد يا کلمه عبور با وجود يک Space تکراري باشد و يا همه حروف روي کلمه عبور قابل تبديل به يک کلمه ساده باشد و يا اين که کلمه عبور تکرار 2حرف در رده 7حرفي باشد. يک هکر با پردازش hashing روي سرور از راه دور با کنار هم قرار دادن يک رديف از حروف 7حرفي ضربدر 2مي تواند به شبکه دسترسي يابد. هر 7حرف روي کلمه عبور مي تواند يک حرف با ترکيبي از استرينگ و کاراکترهاي 14تايي باشد و همه 14حرف از جمله Space مي تواند 7حرف واقعي باشد و يک لغتنامه attack بتواند بقيه حروف را بخواند و تشخيص دهد

 

[خوبی کن]

شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها (بخش هشتم)

LM hash روي SAM فايل ذخيره شده و پردازش روي LAN و گرفتن تصديق بيشتر از سوي سرور به عنوان يک Client مورد تاييد قرار مي گيرد. در اين ميان يک Packet Sniffing بر سر راه شبکه مي تواند کلمه هاي عبور را به داخل خود بکشاند و ذخيره کند. بنابراين شکسته شدن کلمه عبور از اين راه حتي اگر تعداد حروف زيادي نيز به کار ببريد ، امکانپذير است.

اگر LAN Manager را به صورت Default روي سرور خود داريد، قطعا بدانيد که ماشين تان نفوذپذير است.

بيشتر ابزار شکستن کلمه عبور سيستم عامل ويندوز نظير برنامه LC4 از همين حفره استفاده مي کند و هکرها با اجراي آن روي شبکه هايي که مي خواهند به آن نفوذ کنند ، کلمه هاي عبور را مي شکنند و با خواندن فايل SAM که کلمه هاي عبور NTLM و NTLM2 را ذخيره کرده ، سيستم براحتي قابل حمله مي شود. (هرگز يک اسکنر کلمه عبور روي سيستم خود با اکانت Admin نصب نکنيد) بيشتر نرم افزارهاي موجود که مي گويند قصد حمايت از پسوردهاي شما را دارند، تقلبي است و مي خواهند کلمه عبور سرور و ماشين هايتان را به دست بياورند؛ اما راه چاره ابتدا از کار انداختن تصديق LAN Manager روي شبکه است ؛ اما آلترناتيو آن نصب NTLMV2 است که بسياري از حفره ها روي آن گرفته شده است و انکريپت آن نيز قوي تر است.

در رجيستري ويندوز شاخه زير را پيدا کنيد:

HKEY-LOCAL-MACHINE\SYSTEM\Currentcontroset\Control\LSA

يک پوشه به ارزش DWORD به نام LM Compatibility Level هست که Value آن از صفر تا 5 قابل تغيير از سوي راهبر است و البته Default آن صفر است.

صفر در اينجا به معني اجازه به سيستم مبارزه و پاسخ (يعني باز بودن سيستم) است.
Value يک يعني اگر کسي درخواست فرستاد NTLMV2 کار کند. ارزش دو (2) فقط تصديق روي NTLM مي فرستد. ارزش (3) ارسال تصديق روي NTLMV2 است و 4يعني تصديق روي LM را اصلا نمي پذيرد و شماره 5 نيز يعني تصديق روي LM و NTLM را رد مي کند.
اگر ماشين شما ويندوز ان.

تي با سرويس پک 4 به قبل است از عدد 3 روي همه Clientها استفاده کنيد و از عدد 5 روي دومين کونترولر استفاده نماييد.
با نصب مستقل NTLMV2 شاخه LMCompatibility از ارزش صفر تا 3 را دراختيار شما مي گذارد.
اگر قادر نيستيد پوشه LMCompatibility level را 4 بدهيد.
سپس ، از هر گونه ذخيره شدن hash جلوگيري کنيد. حتي در برخي موارد همچنان hashها روي فايل SAM ذخيره مي شوند.
روي ويندوز 2000 شاخه زير را بسازيد:

HKEY-LOCAL-MACHINE\system\currentcontrolset\control\NOLMHASH

روي زير شاخه control رفته و سمت راست موس را زده و new و بعد Key را انتخاب کرده و NOLMHASH را تايپ کنيد) با وجود اين پوشه ديگر هيچ نوع hashes ذخيره نمي شود اما روي xp به شاخه زير برويد.

HKEY-LOCAL- MACHINE\system\currentcontrolset\control\LSA

و بعد پوشه اي به نام NOLMHASH به ارزش DWORD بسازيد و value آن را يک بگذاريد.
با يک بار تغيير کلمه عبور روي شبکه از سوي کاربر تمامي hashها پاک مي شوند.

 

[خوبی کن]

شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها (بخش نهم)

حفره بعدي ويندوز مربوط به اکانت هاي بدون کلمه عبور و يا کلمه هاي عبور ضعيف است. پسوردها يا کلمه عبور کدهاي امنيتي هستند که به صورت مجازي در يک تعامل مستقيم ميان کاربر و سيستم اطلاعاتي به کار گرفته مي شود و بيشتر به شکل گرفتن تاييديه از کاربر با تکيه بر حروف انکريپت شده بنا شده اند. در وهله اول يک هکر بايد اين ديوار دفاعي را بشکند تا بتواند دسترسي مستقيم به فايلها و ديتاي ماشين پيدا کند.
Policy براي انتخاب کلمه عبور در اينجا نقش حياتي پيدا مي کند و بيشتر تهديدها و حفره هاي پسورد از همين جا ناشي مي شود که اکانت يک کاربر با کلمه عبور ضعيف ساخته شد، اکانت هايي با پسورد ضعيف يا نداشتن کلمه عبور روي شبکه يا ماشين ، فرار از کلمه ها و پسوردهاي طولاني و سخت و سوم وجود برنامه هايي که تا حد Admin به سيستم نفوذ کرده و همه چيز را کنترل مي کنند و بعد الگوريتم روي hashها که قبلا توضيح داده شد همه و همه باعث مرئي شدن کلمه عبور مي شوند.
بهترين راه مبارزه با آن نيز اعمال سياست سختگيرانه انتخاب کلمه عبور از سوي راهبر براي کاربران است بنابراين ابتدا هر کاربري بايد با کلمه عبور وارد شبکه شود و بعد کلمه عبور آسان نباشد.
3برنامه اصلي شکستن کلمه هاي عبور روي اينترنت وجود دارد که شامل Lc4 و Johntheripper و SymantecNetRECON هستند و با آنها ضمن امتحان کردن خود مي توانيد بفهميد که به چه سادگي مي توان کلمه هاي عبور را سرقت کرد.
دوباره تاکيد مي شود که هرگز اسکنر پسورد روي اکانت Admin اجرا نکنيد که اين به معني مرگ براي شما و سيستم تان خواهد بود اما به صورت رايگان مي توانيد از برنامه ها به عنوان تست استفاده کنيد که قابل اعتمادترين آنها را در بالا ذکر کرديم.
بيشتر پسوردشکن ها از ديکشنري Attack بهره مي برند. اگر شما کلمه عبور را Jim بگذاريد، طبق تعاريف ان تي استرينگ تعريف شده شما به صورت Jim به همراه 11تا صفر است و براحتي قابل شکستن از سوي نرم افزارهاست.
شبيه سازي password از طريق کدهاي آلفانومريک نيز چندان جذاب نيست.
مثلا برخي مي گويند به جاي کلمه عبور password مي توانيد از pa$$w0rd استفاده کنيد.
اين کار نيز صحيح نيست ؛ بلکه به طور کامل بايد چنين کلمات را کنار گذاشت.
در سيستم هاي لينوکس نيز اين موضوع رعايت نشده است و بيشتر پسورد root به صورت r00t زده شده و سيستم آسيب پذير مي شود.
برخي براي اين که کلمه عبور را فراموش نکنند اول حرف يک شعر را انتخاب مي کنند که حالت تصادفي به خود مي گيرد که اين موضوع قابل تحمل از موارد سابق است ؛ اما در همين جا بگوييم که اگر راهبر هستيد کلمه عبور زير 25حرف را قبول نکنيد و اگر امکان گم شدن وجود داشت راهبر به عنوان امين سيستم مي تواند کمک اصلي باشد.
password هاي حساس را بايد هر 2روز يک بار عوض کرد و password هاي غير حساس (بسته به تعريف راهبر) هر يک هفته يک بار بايد عوض شود.
خود انتخاب نام کاربر نيز مهم است و بايد نام کاربر با نام موسسه يا سازمان و... يکي نباشد تا هکر را يک قدم ديگر به عقب راند.
در قسمت سياست هاي اکانتينگ هر گونه Guest حذف شود و هر نوع اکانت در حد راهبر از سيستم پاک شود.
خود کلمه Administrator بايد Rename شود.
يک فهرست کامل از اکانت ها درست کنيد ؛ اما روي رايانه نگه نداريد و اگر به صورت سي دي يا فلاپي آن را ضبط کرديد در مکان بسيار مطمئن قرار دهيد. اکانت کاربراني که براي هميشه از موسسه مي روند را به طور کامل پاک کنيد.
برنامه ESM متعلق به سيمانتک مي تواند در اين زمينه راهگشا باشد تا با حملات فرضي کلمه هاي عبور شما را امتحان کند.

 

[خوبی کن]

شناسايي 10حفره بزرگ ويندوز و نحوه بستن آنها (بخش دهم)


حفره بزرگ بعدي ويندوز ، مرورگر اينترنت اکسپلورر (IE) است که به صورت Default روي همه سيستم عاملهاي ويندوز نصب مي شود. همه نسخه هاي مرورگر مذکور آسيب پذير هستند و به دليل داشتن باگهاي بزرگ ، بيشتر مواقع به عنوان واسط حملات و exploitها از آن استفاده مي شود. يک هکر در حد Admin از روي همين صفحه مي تواند صفحات وب سيستم مورد حمله قرار داده شده را برهم بريزد. حفره ها به چندين دسته قابل تقسيم هستند که از آن جمله WebPageSpoofing ، Activex Control ، Active Scripting ، انواع MIME و Buffer Overflow هستند.
در نتيجه اين حفره ها ،کوکي هاي سيستم براي هکر آشکار شده و دسترسي به فايلهاي محلي و اجراي برنامه هاي مخرب و دانلود کدهاي اختياري روي سيستم امکانپذير مي شود. همان طوري که گفته شد مرورگر IE روي همه نسخه هاي ويندوز ازجمله سرورها نصب شده و امکان در خطر بودن سيستم کاملا آشکار است.

براي آگاهي از آسيب پذير بودن سيستم ، مي توان به بولتن هاي امنيتي مايکروسافت مراجعه کرد و پيش از هر چيز بايد اطمينان پيدا کرد که جديدترين پس دستور IEاجرا شده است يا نه.

اگر نشده بود، بايد بسيار سريع دانلود و نصب گردد. براي اين کار مي توانيد به آدرس زير مراجعه کنيد:

Windowsupdate.microsoft.com

اگر پس دستورها نصب شد، براي آگاهي بيشتر مي توانيد از 2ابزار چک کردن سيستم يعني MBSA پيش از اين شرح داده شد و نيز از Hfnetchk استفاده کنيد.

Microsoft.com/technet/security/tools/hfnetchk.asp microsoft.com/technet/security/tools/Tools/MBSAhome.asp


همچنين براي شناسايي فشارهاي ناشي از حفره و ارزيابي آن از سايت زير استفاده کنيد:

http://browsercheck.qualys.com

براي چاره سازي ابتدا اگر نسخه IE زير 01/5 است ، آن را به سرعت به روز کنيد. جديدترين نسخه ها را مي توانيد از آدرس هاي زير دانلود نماييد.

microsoft.com/windows/ie/downloads/critical/ie6sp1/default.asp

(مربوط به IE نسخه 6 با سرويس پک 1است)

microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp

(مربوط به IE نسخه 5/5 با سرويس پک 2است.)

microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
(مربوط به IE نسخه 01/5 با سرويس پک 2است)
بعد از به روز کردن مرورگر خود ، بايد آخرين پس دستور ارائه شده تا اين تاريخ را نصب کنيد:

microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp

 

[خوبی کن]

شناسايي 10حفره بزرگ ويندوز

حفره بزرگ ديگري که ويندوز از آن در امان نيست ، وجود ديتا بيس اصلي مايکروسافت به نام رجيستري است که تمامي سيستم عامل ها از آن به عنوان بانک اطلاعات مرکزي بدان وابسته هستند. از طريق رجيستري مديريت بر نرم افزار، سخت افزار، ستينگهاي کاربري و... کنترل و تعريف مي شوند. دسترسي نامناسب به رجيستري مي تواند کنترل کامل سيستم را در اختيار هکر قرار دهد که تحت عنوان Remote Registry Access معروف است.

بدين وسيله کدهاي مخرب روي بانک اطلاعاتي ست شده و همه چيز به دلخواه هکر تغيير مي يابد. با کيت منابع ان تي (NTRK) و از جمله دستوراتي مانند regdump.exe مي توان انواع حملات روي رجيستري را از طريق سيستم ان تي روي ساير سيستم ها در اينترنت يا اينترانت راه اندازي کرد. به علاوه مجموعه دستورات لاين شل اسکريپت ها اجازه تست شدن سيستم را مي دهد که با اين دستورات هکر شروع به نفوذ کردن در ويندوز مي کند. ابزار و دستورات ديگري نظير Now, epdump, tr, PWDUMP, findstr, Dumpsec و tee در زيرمجموعه مذکور جا مي گيرد. راه چاره براي دسترسي نداشتن به رجيستري از راه دور ، تخريب شاخه هايي است که اجازه نفوذ را ميسر مي کند و نيز دادن برخي تغييرات در پوشه هاي رجيستري است.

دارندگان ان تي نسخه 4بايد از نصب سرويس پک 3مطمئن شوند (تغييراتي که ذکر مي شود ، حالت عمومي دارند و شايد در برخي موارد باعث اجرا نشدن برنامه اي شوند که راهبر قبلا آن را ست کرده بود و بنابراين بايد در اجراي دستورات دقت لازم به عمل آيد.) اول از همه ويران کردن دسترسي به شبکه از طريق رجيستري است لطفا به شاخه زير در رجيستري برويد:

HKEY-LOCAL-MACHINE\system\Currentcontrolset\control\securepipeservers\Winreg

داخل اين زيرشاخه بايد يک پوشه به ارزش String درست کنيد و نام آن را Description بگذاريد و سپس Value داخل آن را Registry server تايپ کنيد و OK نماييد.
در واقع اين زيرشاخه تعريف مي کند تا منطبق با policy اعمال شده براي کاربران و گروه کاربران دسترسي تعريف گردد.
اگر زيرشاخه هاي مذکور بعد از control وجود نداشت ، لطفا آن را بسازيد که اين کار با زدن سمت راست موس روي آخرين زيرشاخه و انتخاب New و Key امکانپذير مي شود.
اما ايجاد محدوديت در دسترسي ، البته باعث تاثير گذاشتن روي سرويس هاي مستقل نظير Directory Replicator و سرويس پرينت اسپولر مي شود که بايد آن را مدنظر قرار داد.
سپس مي توان زيرشاخه بعدي روي winreg را به نام Allowedpaths ساخت و يک پوشه به ارزش مولتي استرينگ درست کرد و نام آن را machine گذاشت.
حالا با باز کردن پوشه درون Valuedata مي توان دستورات زير را تايپ کرد: (البته بسته به نوع Policy که قرار است اعمال گردد).

System\CurrentControlSet\Control\ProductOptions 
System\CurrentControlSet\Control\Print\Printers 
System\CurrentControlSet\Control\Server Applications 
System\CurrentControlSet\Services\Eventlog 
Software\Microsoft\OLAP Server 
Software\Microsoft\Windows NT\CurrentVersion 
System\CurrentControlSet\Control\ContentIndex 
System\CurrentControlSet\Control\Terminal Server 
System\CurrentControlSet\Control\Terminal Server\UserConfig 
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration

روزنامه جام جم