KnigaRead.com/
KnigaRead.com » Компьютеры и Интернет » Прочая околокомпьтерная литература » Олег Бойцев - Защити свой компьютер на 100% от вирусов и хакеров

Олег Бойцев - Защити свой компьютер на 100% от вирусов и хакеров

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Олег Бойцев, "Защити свой компьютер на 100% от вирусов и хакеров" бесплатно, без регистрации.
Перейти на страницу:

Горячая двадцатка уязвимостей от SANS

Обычному пользователю очень часто приходится слышать о появлении новых уязвимостей. Разобраться в такой каше бывает совсем непросто ввиду слабой систематизации таких сообщений, которые чаще всего представлены сухой констатацией отрывков бюллетеней безопасности корпорации Microsoft. Наиболее авторитетным источником, представляющим различные уязвимости в классифицированной форме, является The SANS Institute (http://www.sans.org/top20). В отчете SANS все уязвимости разделены на уязвимости Windows-систем, UNIX-систем, приложений (программ) и сетевых продуктов.

В объеме данного раздела подробно остановимся лишь на уязвимостях Windows-систем (с полным отчетом можно ознакомиться по адресу http://www.sans.org/top20).

ПРИМЕЧАНИЕ

Список рассматриваемых в данном разделе уязвимостей нельзя считать самым новым. Он приведен лишь как пример.

Чтобы немного четче представлять, что откуда взялось и кому все это нужно, будет более чем уместно привести «повествование временных лет» горячих отчетов SANS.

Несколько лет назад институт SANS (SANS Institute) и Национальный Центр Защиты Инфраструктуры США (National Infrastructure Protection Center, или NIPC) совместно с FBI представили документ, который по сути своей являлся самым что ни на есть настоящим отчетом, где было озвучено десять критических (на тот момент) уязвимостей, касающихся интернет-безопасности. Данный отчет за короткое время приобрел статус авторитетного руководства, которое активно использовалось различными конторами для устранения дыр ПО. Отчет содержал свежую информацию об уязвимых сервисах, компрометирующихся такой "киберзаразой" своего времени, как Blaster, Slammer и Code Red. В последующие годы отчет трансформировался в список уже из двадцати критических уязвимостей, коим и является на сегодняшний день.


Ну что ж, вот, пожалуй, и начнем.

Сервисы Windows. Семейство операционных систем платформы Windows характеризуется наличием самых разнообразных сервисов, многие из которых обеспечивают нормальную работу данной операционной системы как сетевой. К чему это мы? Наверное, к тому, что уязвимости сервисов Windows как таковые – довольно распространенное явление. Можно даже сказать больше: дыры в сервисах находили, находят и, несомненно, будут находить, благо сервисов у Windows предостаточно. Многие сервисные уязвимости эксплуатируются посредством переполнения буфера (уязвимости переполнения буфера – buffer overflow vulnerabilities), причем большинство атак подобного рода относят к категории удаленных. Удивляться этому факту особо не приходится, учитывая, что подобные сервисы – сетевые.

Небольшое лирическое отступление: наверное, многим из читателей доводилось слышать, что чем больше открытых портов в системе, тем она более уязвима. И тут должен возникнуть закономерный вопрос: как же можно минимизировать количество открытых портов? Просто. Все дело в том, что порт по сути представляет собой какое-либо сетевое приложение, взаимодействующее с подобными себе посредством сетевого интерфейса (очень упрощенно). Чаще всего какому-либо открытому порту соответствует определенное приложение (в нашем случае – служба). Из вышесказанного следует, что минимизировать количество открытых портов можно, минимизировав количество запущенных служб. В качестве горячего примера, иллюстрирующего вышесказанное, уместно привести следующее изображение (рис. 1.7).



Рис. 1.7. Запущенная служба (служба времени Windows) – открытый порт

При отключении службы времени Windows автоматически закрывается и соответствующий порт (рис. 1.8).

Рис. 1.8. Порт 123 закрыт!


Естественно, что в данной ситуации главное – не переусердствовать, для чего очень полезно ознакомиться с описанием служб Windows. Вернемся к SANS.

Согласно отчету список уязвимых служб таков (буквенно-цифровое обозначение уязвимости соответствует оригинальной классификации Microsoft):

♦ MSDTC and COM+ Service (MS05-051);

♦ Print Spooler Service (MS05-043);

♦ Plug and Play Service (MS05-047, MS05-039);

♦ Server Message Block Service (MS05-027, MS05-011);

♦ Exchange SMTP Service (MS05-021);

♦ Message Queuing Service (MS05-017);

♦ License Logging Service (MS05-010);

♦ WINS Service (MS04-045);

♦ NNTP Service (MS04-036);

♦ NetDDE Service (MS04-031);

♦ Task Scheduler (MS04-022).

Уязвимости большинства из перечисленных служб реализуются посредством удаленного выполнения кода либо отказа в обслуживании. Не вдаваясь в технические подробности, еще раз отметим, что абсолютное большинство из вышеперечисленных уязвимостей служб эксплуатируется по механизму переполнения буфера. Переполнение буфера (buffer overflows) на сегодняшний день является самой распространенной уязвимостью в области безопасности ПО. Уязвимость подобного рода широко используется в механизмах проникновения компьютерных червей, таких, например, как CodeRed, Slammer, Lovesan, Zotob и т. д. Помимо червей, уязвимости на переполнение буфера активно используются и для организации атак типа DoS (Denial of Service – отказ в обслуживании), в частности DDoS (Distributed – распределительный), поэтому сомневаться в силе и могуществе данной уязвимости просто не имеет смысла.

Рассмотрим подробнее особенности уязвимостей некоторых служб из вышеупомянутого списка.

♦ Print Spooler Service (MS05-043). Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой системе. Уязвимость существует из-за отсутствия проверки длины буфера в процессе spoolsv.exe. Удаленный пользователь может послать сервису специально сформированный пакет, вызвать переполнение буфера и выполнить произвольный код на целевой системе или вызвать отказ в обслуживании. Уязвимые системы: Microsoft Windows 2000, XP, 2003.

♦ Plug and Play Service (MS05-047, MS05-039). Уязвимость стандарта Plug and Play делает возможным удаленный запуск программного кода и несанкционированное локальное расширение полномочий. Описание: несколько уязвимостей форматной строки обнаружены при вызове функции wsprintfW() в библиотеке UMPNPMGR.DLL службы Plug and Play. В двух случаях проверка подлинности входных данных производится посредством сравнения соответствия ключу реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum. Хотя вся ветка реестра защищена от записи для непривилегированных пользователей, злоумышленник может с помощью специально сформированной строки, содержащей произвольное количество символов обратной черты, обойти проверку подлинности. В Windows 2000, без установленного исправления MS05-039, удаленный пользователь может без процедуры аутентификации получить доступ к интерфейсу UMPNPMGR посредством именованного канала конечных RPC-точек: PIPEbrowser, PIPEsrvsvc и PIPEwkssvc. Если исправление установлено, для успешной эксплуатации уязвимости злоумышленнику потребуется авторизация. Уязвимость в Microsoft Windows XP SP2 может быть эксплуатирована лишь локальным авторизованным пользователем. Уязвимые системы: Microsoft Windows 2000 SP4, Microsoft Windows XP SP1, SP2.

♦ Server Message Block Service (MS05-027, MS05-011) – выполнение произвольного кода в Microsoft Server Message Block. Уровень опасности – критический. Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе. Уязвимость существует из-за недостаточной проверки входных SMB-пакетов. Удаленный пользователь может с помощью специально сформированного SMB-пакета выполнить произвольный код на целевой системе. Уязвимые операционные системы: Microsoft Windows 2000, XP, 2003.

♦ Exchange SMTP Service (MS05-021). Уязвимость Exchange Server может привести к запуску произвольного кода. Уязвимость существует в сервисе Internet Mail почтового сервера Exchange Server 5.5 и Exchange 2000 Server и может позволить нападающему установить соединение с портом SMTP этого сервера и отправить специальным образом расширенный вербальный запрос, который приведет к выделению под него большого объема памяти. Это может привести к падению сервиса Internet Mail или к отказу пакета в работе по причине недостаточного объема доступной памяти. Кроме того, в Exchange 2000 Server уязвимость позволяет атакующему, при условии создания тщательно подобранной последовательности данных, вызвать переполнение буфера, которое может привести к возможности запуска вредоносных программ в контексте зоны безопасности сервиса SMTP. Для предотвращения возможности проведения атаки можно воспользоваться специальными программами, фильтрующими SMTP-трафик перед отправкой его на Exchange Server. Как сообщает Microsoft, система Exchange Server 2003 свободна от данной уязвимости. Уязвимости подвержены компьютеры, на которых запущены Microsoft Exchange Server 5.5, Service Pack 4 или Microsoft Exchange 2000 Server, Service Pack 3.

♦ WINS Service (MS04-045) (Microsoft Windows Internet Naming Service). Проблема связана с некорректной проверкой определенных параметров запросов, в результате чего может произойти выполнение произвольного вредоносного кода на удаленном ПК. Дыра есть в операционных системах Windows NT, 2000, Server 2003 (в том числе 64-битной модификации).

♦ NNTP Service (MS04-036). Удаленный пользователь может представить специально обработанное, чрезмерно длинное сообщение, чтобы вызвать переполнение буфера в NNTP-компоненте (Network News Transfer Protocol). Успешная эксплуатация позволяет выполнить произвольный код на целевой системе, в которой используется NNTP. Уязвимость обнаружена в серверных

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*