Operační systémy Windows 2000
Přenosy zón DNS
Vzhledem k tomu, že prostor jmen Active Directory ve Windows 2000 vychází z DNS, Microsoft zcela aktualizoval serverovou implementaci DNS pro Windows 2000 tak, aby si systémy AD a DNS navzájem vyhovovaly. Jedná se tak o základní zdroj při stopování a nezklame, protože standardně poskytuje přenosy zón k libovolné vzdálené stanici.
Útoky SMB typu „muž uprostřed"
Útoky SMB typu „muž uprostřed" byly hlavním důvodem, proč kolem SMBRelay vznikl takový zájem.Ačkoliv pojetí útoků SMB MITM bylo v době zveřejnění SMBRelay docela zastaralé, jednalo se o první široce rozšířený nástroj, který útok automatizuje.
Předvídání pojmenovaných rour ke spuštění kódu pod účtem SYSTEM
Toto zranitelné místo, objevené Mikem Schiffmanem a zaslané do Bugtraqu (ID 1535), vede ke zvýšení privilegií a zneužívá k tomu předvídatelnosti vytvoření pojmenovaných rour v době, kdy Windows 2000 inicializují služby systému (jako například Server, Workstation, Alerter a ClipBook, které se všechny přihlašují pod účtem SYSTEM). Než se každá služba spustí, vytvoří se pojmenovaná serverová roura s předvídatelným sekvenčním názvem. Tuto sekvenci lze získat z klíče registru HKLM
\System\ CurrentControlSet\ Control\ ServiceCurrent.
Narušení přístupu napříč Winstation
Většina správců Windows nikdy o Window Stations (winstations) ani neslyšela. Winstations patří pravděpodobně k jednomu z nejvíce zatemněných témat programování ve Windows. Bezpečnostní model Windows 2000 definuje hierarchii kontejnerů, které jsou navrženy tak, aby stanovily hranice mezi různými procesy. V této hierarchii jsou (od největšího k nejmenšímu): relace, winstations, pracovní plochy. Relace obsahují jednu nebo více Winstations, které mohou obsahovat jednu nebo více pracovních
ploch. Procesy jsou omezeny tak, aby běžely v jediné Winstation a jejich podprocesy běžely na jedné nebo více pracovních plochách.
Dotazy NetDDE, které běží jako SYSTEM
V únoru 2001 DilDog od @Stake objevil v systému Windows 2000 zranitelné místo, jímž je služba Network Dynamic Data Exchange (NetDDE), která místnímu uživateli dovolí, aby spustil libovolný příkaz s privilegii účtu SYSTEM. Jedná se o technologii umožňující aplikacím sdílet data prostřednictvímdůvěryhodných sdílených položek". Dotaz lze provést tak, aby spustil aplikaceběžící v kontextu účtu SYSTEM. @Stake zveřejnil kód nástroje s názvem netddemsg, který tuto technologii zvýšení privilegií automatizoval.
Zmocnění se SAMu
V řadičích domén na Windows 2000 se haše hesel uchovávají v Active Directory (%windir%\ NTDS\ntds.dit). Při výchozí sadě nainstalovaných objektů se velikost tohoto souboru přibližuje deseti megabajtům a je v zakódovaném tvaru, takže útočníci jej pravděpodobně neodsunou k offline analýze.
Získání hašů programem pwdumpX SYSKEY je nyní standardní konfigurací pro Windows 2000 (viz článek KB Q143475 a kapitola 5, chcete-li více informací o SYSKEY). Díky tomu nástroj pwdump není schopen správně extrahovat haše hesel z registru na serveru Windows 2000 s výchozím nastavením. K provedení tohoto úkolu je vyžadován pwdump2 (viz kapitola 5, kde se rozebírá pwdump a pwdump2 i důvody, proč pwdump proti SYSKEY nefunguje). Dále k lokálnímu odstranění hašů z řadičů domén je nutná aktualizovaná verze pwdump2 (dostupná na http://razor.bindview.com), protože ty při ukládání hašů hesel spoléhají spíše na Active Directory než na tradiční SAM.
Vkládání hašů do souboru SAM s pomocí chntpw Jestliže útočníci získají fyzický přístup k systému i dost času, aby mohli nepozorovaně spustit na počítači jiný operační systém, mohou provést rafinovaný útok, který popsal Petter Nordahl-Hagen na http://home.eunet.no/~pnordahl/ntpasswd/. V sérii článků na této stránce Petter dokumentuje několik alarmujících faktů včetně tohoto:
Vymazání SAMu nastaví heslo administrátora na prázdné
James J. Grace a Thomas S. V. Bartlett III uveřejnili 25. července 1999 překvapující text, který popisuje způsob, jak vymazat heslo administrátora spuštěním alternativního operačního systému a vymazáním souboru SAM (viz http://www.deepquest.pf/win32/win2k_efs.txt). Pokud je zaručen nepozorovaný fyzický přístup ke stroji a dostupnost nástrojů k zapisování na svazky NTFS (například NTFSDOS Pro z http://www.sysinternals.com), tato metoda umožní triviálně obejít veškerou lokální bezpečnost na NT/2000. Ačkoli metoda popsaná v textu zmiňuje instalaci druhé kopie NT nebo 2000 spolu s tou původní, není to nutné, jestliže má útočník v úmyslu zrušit pouze heslo účtu administrátora. Pouhé vymazání SAMu funguje
okamžitě. Pro šifrovaný souborový systém EFS z tohoto útoku plynou vážné důsledky, které vysvětlíme v další části
Zneužití agenta pro obnovu klice
Navážeme na předcházející diskusi o textu Grace a Bartletta z http://www.deepquest.pf/win32/ win2k_efs.txt. Schopnost přepsat heslo účtu administrátora nabírá vážnějších rozměrů, jakmile si uvědomíme, že administrátor je standardně agentem obnovy klíče (RA). Jak Grace a Bartlett dále uvádějí v tomto textu, jakmile se jednou podaří úspěšně přihlásit na systém s prázdným heslem administrátora, šifrované soubory EFS se při svém otevření dešifrují, protože administrátor má ke klíči FEK transparentní
přístup s pomocí klíče obnovy.
Načítání dočasných souborů s daty zašifrovanými prostřednictvím EFS
Dne 19. ledna 2001 zaslal Rickard Berglind do oblíbené diskusní skupiny Bugtraq, věnované bezpečnosti, pozoruhodný postřeh. Upozorňuje na to, že když je soubor vybrán k šifrování prostřednictvím EFS, tak není ve skutečnosti zašifrován přímo. Spíše dochází k tomu, že se jeho záložní kopie přesune do dočasného adresáře a přejmenuje na efsO.tmp. Pak jsou data z tohoto souboru zašifrována a je jimi nahrazen původní soubor. Jakmile je šifrování ukončeno, dojde k vymazání záložního souboru. Když však dojde k nahrazení původního souboru jeho zašifrovanou kopií a vymazání dočasného souboru, fyzické bloky v souborovém systému, kde se uchovává dočasný soubor, se nikdy nevymažou. Tyto bloky obsahují původní, nezašifrovaná data. Jinými slovy, dočasný soubor se maže stejným způsobem, jako se „maže" kterýkoli jiný soubor. Položka v hlavní tabulce souborů je označena jako prázdná a clustery, ve kterých se soubory uchovávají, jsou označeny jako dostupné, ale fyzický soubor a informace v něm obsažené zůstanou v otevřené podobě na disku! Jak se budou do oddílu přidávat nové soubory, budou se postupně tyto informace přepisovat. Kdyby však byl zašifrovaný soubor příliš velký, mohly by zde tyto informace zůstat i několik měsíců, podle toho, jak mnoho zápisů na disk se vyskytne.
LSA Secrets - stále funkční
Jak jsme se dozvěděli v kapitole 5, zranitelné místo LSA Secrets je klíčový mechanismus pro zneužití vnějších vztahů důvěry, protože odhalí několik posledních uživatelů, kteří se do systému přihlásili, spolu
s hesly účtů služeb. Přestože Microsoft ohlásil pro LSA Secrets aktuální opravu, která následovala za Service Packem 3, většinu citlivých dat lze stále extrahovat s pomocí aktualizované utility Isadump2 od Todda Sabina (http://razor. bindview.com/tools/desc/lsadump2_readme.html). Zde je příklad extrahování účtu služby na řadiči domény ve Windows 2000 s pomocí utility 1 sadump2. Poslední položka odhaluje službu „BckpSvr" přihlášenouheslem „password1234".
Zadní vrátka v cestě ke spustitelným souborům
Někdy jsou ta nejkřiklavější zadní vrátka nejhůře rozpoznatelná. Vezměte v úvahu jednoduché umístění trojského koně - shellu Windows s názvem explorer.exe v kořenovém adresáři %systemdrive% na cílovém systému (standardně je zde zápis umožněn všem uživatelům). Když se libovolný uživatel následně přihlásí interaktivně, tento spustitelný program se stane standardním shellem pro uživatele. Proč se to děje?
Uchvácení připojení odpojeného Terminal Serveru
Toto je zajímavé pro útočníky, kteří už dosáhli na privilegia administrátora na Terminal Serveru. Jestliže se naposledy administrátor zapomněl odhlásit z terminálové relace (nebo z několika), právě když se útočníci pokoušeli připojit na účet administrátora.