Vzhledem k tomu, že prostor jmen Active Directory ve Windows 2000 vychází z DNS, Microsoft zcela aktualizoval serverovou implementaci DNS pro Windows 2000 tak, aby si systémy AD a DNS navzájem vyhovovaly. Jedná se tak o základní zdroj při stopování a nezklame, protože standardně poskytuje přenosy zón k libovolné vzdálené stanici.

Toto zranitelné místo, objevené Mikem Schiffmanem a zaslané do Bugtraqu (ID 1535), vede ke zvýšení privilegií a zneužívá k tomu předvídatelnosti vytvoření pojmenovaných rour v době, kdy Windows 2000 inicializují služby systému (jako například Server, Workstation, Alerter a ClipBook, které se všechny přihlašují pod účtem SYSTEM). Než se každá služba spustí, vytvoří se pojmenovaná serverová roura s předvídatelným sekvenčním názvem. Tuto sekvenci lze získat z klíče registru HKLM

\System\ CurrentControlSet\ Control\ ServiceCurrent.

Většina správců Windows nikdy o Window Stations (winstations) ani neslyšela. Winstations patří pravděpodobně k jednomu z nejvíce zatemněných témat programování ve Windows. Bezpečnostní model Windows 2000 definuje hierarchii kontejnerů, které jsou navrženy tak, aby stanovily hranice mezi různými procesy. V této hierarchii jsou (od největšího k nejmenšímu): relace, winstations, pracovní plochy. Relace obsahují jednu nebo více Winstations, které mohou obsahovat jednu nebo více pracovních

ploch. Procesy jsou omezeny tak, aby běžely v jediné Winstation a jejich podprocesy běžely na jedné nebo více pracovních plochách.

V únoru 2001 DilDog od @Stake objevil v systému Windows 2000 zranitelné místo, jímž je služba Network Dynamic Data Exchange (NetDDE), která místnímu uživateli dovolí, aby spustil libovolný příkaz s privilegii účtu SYSTEM. Jedná se o technologii umožňující aplikacím sdílet data prostřednictvímdůvěryhodných sdílených položek". Dotaz lze provést tak, aby spustil aplikaceběžící v kontextu účtu SYSTEM. @Stake zveřejnil kód nástroje s názvem netddemsg, který tuto technologii zvýšení privilegií automatizoval.

V řadičích domén na Windows 2000 se haše hesel uchovávají v Active Directory (%windir%\ NTDS\ntds.dit). Při výchozí sadě nainstalovaných objektů se velikost tohoto souboru přibližuje deseti megabajtům a je v zakódovaném tvaru, takže útočníci jej pravděpodobně neodsunou k offline analýze.

James J. Grace a Thomas S. V. Bartlett III uveřejnili 25. července 1999 překvapující text, který popisuje způsob, jak vymazat heslo administrátora spuštěním alternativního operačního systému a vymazáním souboru SAM (viz http://www.deepquest.pf/win32/win2k_efs.txt). Pokud je zaručen nepozorovaný fyzický přístup ke stroji a dostupnost nástrojů k zapisování na svazky NTFS (například NTFSDOS Pro z http://www.sysinternals.com), tato metoda umožní triviálně obejít veškerou lokální bezpečnost na NT/2000. Ačkoli metoda popsaná v textu zmiňuje instalaci druhé kopie NT nebo 2000 spolu s tou původní, není to nutné, jestliže má útočník v úmyslu zrušit pouze heslo účtu administrátora. Pouhé vymazání SAMu funguje

okamžitě. Pro šifrovaný souborový systém EFS z tohoto útoku plynou vážné důsledky, které vysvětlíme v další části

Navážeme na předcházející diskusi o textu Grace a Bartletta z http://www.deepquest.pf/win32/ win2k_efs.txt. Schopnost přepsat heslo účtu administrátora nabírá vážnějších rozměrů, jakmile si uvědomíme, že administrátor je standardně agentem obnovy klíče (RA). Jak Grace a Bartlett dále uvádějí v tomto textu, jakmile se jednou podaří úspěšně přihlásit na systém s prázdným heslem administrátora, šifrované soubory EFS se při svém otevření dešifrují, protože administrátor má ke klíči FEK transparentní

přístup s pomocí klíče obnovy.

Dne 19. ledna 2001 zaslal Rickard Berglind do oblíbené diskusní skupiny Bugtraq, věnované bezpečnosti, pozoruhodný postřeh. Upozorňuje na to, že když je soubor vybrán k šifrování prostřednictvím EFS, tak není ve skutečnosti zašifrován přímo. Spíše dochází k tomu, že se jeho záložní kopie přesune do dočasného adresáře a přejmenuje na efsO.tmp. Pak jsou data z tohoto souboru zašifrována a je jimi nahrazen původní soubor. Jakmile je šifrování ukončeno, dojde k vymazání záložního souboru. Když však dojde k nahrazení původního souboru jeho zašifrovanou kopií a vymazání dočasného souboru, fyzické bloky v souborovém systému, kde se uchovává dočasný soubor, se nikdy nevymažou. Tyto bloky obsahují původní, nezašifrovaná data. Jinými slovy, dočasný soubor se maže stejným způsobem, jako se „maže" kterýkoli jiný soubor. Položka v hlavní tabulce souborů je označena jako prázdná a clustery, ve kterých se soubory uchovávají, jsou označeny jako dostupné, ale fyzický soubor a informace v něm obsažené zůstanou v otevřené podobě na disku! Jak se budou do oddílu přidávat nové soubory, budou se postupně tyto informace přepisovat. Kdyby však byl zašifrovaný soubor příliš velký, mohly by zde tyto informace zůstat i několik měsíců, podle toho, jak mnoho zápisů na disk se vyskytne.

Jak jsme se dozvěděli v kapitole 5, zranitelné místo LSA Secrets je klíčový mechanismus pro zneužití vnějších vztahů důvěry, protože odhalí několik posledních uživatelů, kteří se do systému přihlásili, spolu

s hesly účtů služeb. Přestože Microsoft ohlásil pro LSA Secrets aktuální opravu, která následovala za Service Packem 3, většinu citlivých dat lze stále extrahovat s pomocí aktualizované utility Isadump2 od Todda Sabina (http://razor. bindview.com/tools/desc/lsadump2_readme.html). Zde je příklad extrahování účtu služby na řadiči domény ve Windows 2000 s pomocí utility 1 sadump2. Poslední položka odhaluje službu „BckpSvr" přihlášenouheslem „password1234".

Někdy jsou ta nejkřiklavější zadní vrátka nejhůře rozpoznatelná. Vezměte v úvahu jednoduché umístění trojského koně - shellu Windows s názvem explorer.exe v kořenovém adresáři %systemdrive% na cílovém systému (standardně je zde zápis umožněn všem uživatelům). Když se libovolný uživatel následně přihlásí interaktivně, tento spustitelný program se stane standardním shellem pro uživatele. Proč se to děje?

Toto je zajímavé pro útočníky, kteří už dosáhli na privilegia administrátora na Terminal Serveru. Jestliže se naposledy administrátor zapomněl odhlásit z terminálové relace (nebo z několika), právě když se útočníci pokoušeli připojit na účet administrátora.