◙ Các biện pháp đối phó máy trung tâm SMB (MITM)

Các biện pháp có vẻ rõ ràng với SMBRelay là cấu hình Windows 2000 để sử
dụng SMB Signing, hiện được xem như số hóa khách /truyền thông phục vụ.
Máy SMBSigning được giới thiệu với dịch vụ Windows NT4 lô 3 và được
thảo luận trong mục KB Q161372.
Như cái tên gọi đã gợi ý, xác lập Windows 2000 nhằm số hóa khách hoặc
truyền thông phục vụ sẽ làm ký hiệu mật mã hóa mỗi khối của truyền thông
SMB. Chữ ký này có thể
được một máy khách hoặc máy chủ kiểm tra để đảm
bảo tính toàn vẹn và xác thực của mỗi khối, làm cho máy chủ SMB không
thích hợp về mặt lý thuyết (không chắc có thực, phụ thuộc vào thuật toán dấu
hiệu đã được sử dụng). Theo mặc định Windows 2000 được cấu hình như:
Số hóa truyền thông khách (khi có thể) Được kích
hoạt
Kênh an toàn: mật mã số dữ liệu kênh an ninh (khi có thể) Được
kích hoạt
Kênh an toàn: S
ố hóa dữ liệu kênh bảo mật (khi có thể) Được kích
hoạt

Những xác lập đó có trong các chính sách bảo mật /cục bộ/ những lựa chọn an
toàn. Vì vậy, nếu máy chủ hỗ trợ việc ký SMB, Windows 2000 sẽ sử dụng nó.
Để ký SMB, ta có thể tuỳ ý kích hoạt các tham số phụ trong phần Security
Options.
Ký truyền thông máy khách dạng số (luôn luôn) Được kích
hoạt
Ký truyền thông máy chủ dạng số (luôn luôn) (nó sẽ ngăn chặn hiện t
ượng
chuyển lại từ SMBRelay).
Được kích hoạt

Kênh an toàn: ký hoặc mã hoá số dữ liệu kênh an toàn (luôn luôn) Được
kích hoạt
Kênh an toàn: yêu cầu phím chuyển mạnh (Windows 2000 hoặc mới hơn)
Được kích hoạt
Chú ý những xác lập này có thể gây ra những trục trặc về liên kết với các hệ
thống NT4, thậm chí SMB signing đã có thể làm việc trong các hệ thống đó.
Tuy nhiên, như chúng ta đã thấy, SMBRelay hiệu chỉnh nhằm vô hiệu hóa
SMB Signing và sẽ có th
ể phá vỡ những xác lập này.
Do các đợt tấn công SMBRelay MITM là những kết nối hợp lệ chủ yếu,
không có các mục phát lộ chuyên dụng để thông báo tấn công đang xảy ra.
Đối với máy khách bi tấn công, những vấn đề về khả năng liên kết có thể ra
tăng khi kết nối với máy chủ SMBRelay gian lận, bao gồm lỗi hệ thống số 59,
“một sự cố mạng ngoài dự tính.” Nhờ SMBRelay, việ
c kết nối sẽ thực sự
thành công , nhưng nó tự tách rời với sự kết nối của khách và tin tặc.
Tấn công IIS 5
Nếu bất kỳ một vụ tấn công nào ngang hoặc vượt quá khả năng của NetBIOS
và SMB/CIFS trong bộ đệm hiện thời, phương pháp thâm nhập máy chủ thông
tin Internet (IIS)sẽ tăng lên vô số, một sự trợ giúp đáng tin cậy đã được tìm ra
trong các hệ thống NT/2000 kết nối Internet. Các sản phẩm máy chủ Windows
2000 đã được cài đặt IIS 5.0 và dịch vụ Web kích hoạt mặc định. Mặc dù
chúng ta sẽ tìm hiểu chi tiết các thủ
thuật tấn công Web trong chương 15,
chúng tôi cho rằng bạn cần phải biết đường tiếp cận quan trọng để bạn không
quên cửa vào hệ điều hành rất có thể đang ở trạng thái mở.
Chú ý
: kiểm tra toàn bộ cuốn Đột nhập Windows 2000 để biết các hình thức
tấn công và những biện pháp đối phó chủ động.


Tràn bộ đệm từ xa
Trong chương 5 chúng tôi thảo luận hiện tượng tràn bộ đệm trung gian Win 32
và trích dẫn một số nguồn để các bạn đọc thêm về vấn đề này. Hiện tượng tràn
bộ đệm nguy hiểm nhất trong Windows 2000 là IIS có liên quan: tràn bộ đệm
Internet Printing Protocol ISAPIDLL (MS01-123), thành quả Index server
ISAPIDLL (MS01-123), và tấn công thành phần phụ Front Page Server
Extensions (MS01-035), những hiện tượng này được trình bày trong chương
15.

KHƯỚC TỪ DỊCH VỤ
Do hầu hết các vụ tấn công (DoS) NT được sửa tạm bở
i NT4 Service Pack 6a,
Windows 2000 tương đối mạnh ở điểm này. Không có gì là không thể bị tấn
công với DoS, mặc dù vậy, chúng tôi sẽ thảo luận trong phần tiếp theo. Phần
trình bày về tấn công Windows 2000 DoS của chúng tôi được chia làm hai
phần: tấn công TCP/IP và tấn công NetBIOS.
☻Tấn công Windows 2000 TCP/IP DoS
Đây là một thực tế trên mặt trận Internet - sử dụng quá tải. Win2000test.com
nhận thấy rằng Internet đã bị sử dụng quá khả năng tối ưu củ
a nó, mặc dù
những qui định về thử nghiệm đã tránh hoàn toàn các vụ tấn công DoS. Máy
chủ trong vấn đề này gặp phải các đợt tấn công mạnh mẽ bộ phận IP vượt quá
khả năng của máy chủ để tập hợp lại các gói tin, cũng như các đợt tấn công ol’
SYN đã xâm nhập vào hàng của ngăn xếp TCP/IP của các liên kết nửa mở.
(xem chương 12 để biết thêm chi tiết)
◙ Các biệ
n pháp đối phó TCP/IP DoS
Cấu hình các công cụ cổng vào mạng hoặc phần mềm bảo vệ nhằm đổi hướng
hầu hết sự cố nếu tất cả các sự cố đều không phải do kỹ thuật đó gây ra. (xem
chương 12 để biết thêm chi tiết.) Tuy nhiên, như chúng ta vẫn nói, cấu hình

các máy chủ cá nhân để chống lại các đợt tấn công trực tiếp là một ý tưởng tốt
trong trường hợp mộ
t tầng bảo vệ bị hỏng.
Phần lớn do kinh nghiệm có được từ Win2000test.com, Microsoft có thể thêm
một số khóa Registry vào Windows 2000 phím này có thể được sử dụng để
làm vững chắc thêm ngăn xếp TCP/IP chống lại tấn công DoS. Bảng 6-3 trình
bày ngắn gọn cách thức đơn vị Win2000test.com cấu hình DoS-related
Registry xắp sếp trong máy chủ. (bảng này được phỏng theo trang trắng của
Microsoft từ kinh nghiệm từ Win2000test.com, bạn có thể truy cập trang:
http://
www.microsoft.com/security, cũng như xem các thông báo cá nhân với
đơn vị Win2000test.com)

Khóa trong HKLM\
Sys\
CCS\
Service

Chỉ
số
yêu
cầu

Miêu tả
Tcpip\parameter\SynAtta
ck Protect
2 Thông số này làm cho TCP hiệu chỉnh
sự tiếp phát của SYN-ACKS để từ đó
việc kết nối phản ứng lại thời gian chết
nhanh hơn nếu một tấn công SYN trong

tiến trình xảy ra. Sự xác định này dựa
trên TcpMaxPortsExhausted hiện thời,
TcpMaxHalfOpen, và
TcpMaxHalfOpenR etried. Môt trong
hai chỉ số cung cấp sự bảo vệ tốt nhất
chống lại các tấn công SYN, nhưng có
thể gây ra trục trặc về liên k
ết cho người
sử dụng đối với những đường dẫn có
góc trễ cao. Ngoài ra, ổ cắm lựa chọn
dưới đây sẽ không làm việc nếu thông
số đó được cài đặt cho 2 chỉ số.
Windows có thể thay đổi tỷ lệ (RFC
1323) và các thông số TCP cấu hình
mỗi bộ điều hợp (RTT ban đầu, kích cỡ
Windows).
Tcpip\parameter\Enable
DeadGWDetect
0 Khi thông số này là 1, TCP được phép
thực hiện việc rò tìm cổng vào vô hiệu,
làm cho nó chuyển sang cổng vào sao
lưu nếu một số kết nối gặp phải khó
khăn. Các cổng vào sao lưu có thể được
định dạng trong phần Advanced của hộp
đối thoại cấu hình TCP\IP trong
Network Control Panel. Cài đặt vào chỉ
số 0 vì thế tin tặc khôn
g thể chuyển đổi
sang các cổng vào được đồ họa kém.
Tcpip\parameter\Enable

PMTUDiscovery
0 Khi thông số cài đặt là 1 (đúng),TCP
hiệu chỉnh để rò tìm ra đơn vị truyền
dẫn tối đa (MTU, hoặc kích cỡ gói tin
lớn nhất) qua đường dẫn tới một máy
chủ từ xa. Bằng việc phát hiện ra Path
MTU và giới hạn các bộ phận TCP ở
kích cỡ đó, TCP có thể loại trừ việc
phân đoạn ở các cầu dẫn dọc theo đường
dẫn kết n
ối mạng với các MTU khác
nhau. Việc phân đoạn có ảnh hưởng rất
lơn đến thông lượng TCP và sự nghẽn
mạch. Cài đặt thông số 0 khiến cho một
MTU 576bytes được sử dụng cho tất cả
các liên kết ngoại trừ máy chủ ở mạng
cục bộ và ngăn chặn giới tin tặc ép
MTU với một chỉ số nhỏ hơn trong nỗ
lực bắt ngăn xế
p làm việc quá sức.
Tcpip\parameter\
KeepAliveTime

300,0
0
(5
phút)
Thông số này kiểm soát việc TCP hiệu
chỉnh để xác minh rằng một liên kết
hỏng vẫn chưa được phát hiện do việc

gửi một gói tin đang tồn tại. Nếu hệ
thống từ xa vẫn phát huy hiệu lực, nó
thừa nhận việc truyền dẫn vẫn đang hoạt
động. Các gói tin đang tồn tại sẽ không
được mật định gửi đi. Đặc đ
iểm này có
thể được thực hiện nhờ một ứng dụng vê
liên kết. Đó là sự xắp sếp chung, ứng
dụng cho tất cả các mạch ghép nối, và
có thể quá ngắn cho các bộ điều hợp sử
dụng để quản lí hoặc công nhận tình
trạng dư thừa.
Tcpip\parameter\Interface
s
<interfaces>
NoNameReleaseOnDema
nd

0(hỏn
g)
Thông số này xác định liệu máy tính có
phát ra tên NetBIOS của nó hay không
khi nó nhận được một lệnh Name-
Release từ mạng. Một chỉ số 0 bảo vệ
khỏi các tấn công Name-Release nguy
hiểm.(xem Microsoft Security Bullentin
MS00-047). Chưa rõ là một tấn công có
thể có ảnh hưởng gì, nếu có thì ảnh
hưởn
g đối với mạch ghép nối nơi

NetBIOS/SMB/CIFS đã bị vô hiệu hóa,
như đã thảo luận trong phần đầu của
chương.
Tcpip\parameter\Interface
s<interfaces>
PerformRouterDiscovery

0 Thông số này kiểm soát khả năng
Windows NT/2000 có hiệu chỉnh để
phát hiện router bằng RFC 1256 trên cơ
sở qua mạch ghép nối hay không. Một
chỉ số 0 ngăn chặn các vụ tấn công nguy
hiểm router không thật. Sử dụng chỉ số
này trong Tcpip\parameters\Adapters để
tính toán xem chỉ số nào của mạch ghép
nối là phù hợp với bộ điều hợp mạng.
Bảng 6-3. Giới thiệu thiết lập NT/2000TCP/IP Stack nhằm hạn chế các vụ
tấn công Khước từ dịch vụ (Denial of service)
CẢNH BÁO:Một vài chỉ số trong bảng 6-3, như SynAttackProtect=2, có thể
quá linh hoạt trong một vài môi trường. Những xác lập đó được trình bày
nhằm bảo vệ một máy chủ Internet có khả năng tải cao.
Xem mục KB Q142641 để biết thêm chi tiết về việc xắp sếp SynAttackProtect
và các thông số này.
☻Tấn công NetBIOS DoS
Tháng 6 năm 2000, Sir Dystic of Cult of the Dead Cow (http://
www.cultdeadcow.com) đã thông báo rằng: gửi một tin nhắn “NetBIOS Name
Release” tới NetBIOS Name Service (NBNS, UDP 137) trên một máy
NT/2000 buộc nó phải lấy tên đối lập vì vậy hệ thống sẽ không còn khả năng
sử dụng nó nữa. Điều này gây cản trở lớn cho máy trong việc tham gia mạng
NetBIOS.

Cùng lúc đó, Network Associates COVERT Labs (http://
www.nai.com) đã
phát hiện ra rằng một tin tặc có thể gửi cho Net BIOS Name Service một tin
nhắn NetBIOS Name Conflict ngay cả khi máy tiếp nhận không nằm trong
quá trình đăng ký NetBIOS Name. Điều dẫn đến việc lấy tên đối lập, và không
thể sử dụng được nữa, cản trở lớn việc tham gia vào mạng NetBIOS của hệ
thống.

Sir Dystic đã mã hóa một ưu thế được gọi là nbname khả năng này có thể gửi
một gói tinNBNS Name Release tới tất cả các mục nhập trong bảng NetBIOS
name. Đây là một ví dụ về cách sử dụng nbname cho máy chủ đơn DoS.
Trong Windows 2000, trước hết bạn phải vô hiệu hóa NetBIOS đối với
TCP/IP để ngăn chặn sự xung đột với dịch vụ NBNS, dịch vụ thông thường có
thể độc nhất sử dụng UDP 137. Sau đó, cho chạy nbname như đã trình bày sau
đây. (Đặt 192.168.234. 222 với địa chỉ IP của máy ch
ủ bạn muốn vào DoS)
C:\>nbname/astat 192.168.234. 222 /conflict
NBName v2.51 – Decodes and displays NetBIOS Name traffic (UDP 137),
with options
Copyright 2000: Sir Dystic, Cult of the Dead Cow -:/:- New Hack City
Send complaits, ideas and donations to
/

WinSock v2,0 (v2.2) WinSock 2.0
WinSock status: Running
Bound to port 137 on address 192.168.234.244
Broadcast address: 192.168.234.255 Netmask: 255. 255.255.0
**** NBSTAT QUERY packet sent to 192.168.234. 222

waiting for packets…

** Received 301 bytes from 192.168.234. 222.137
via local net at web jun 20 15:46:12 200
OPCode: QUERY
Flags: Response Authoratative Answer
Answer[0]
• <00>
Node Status Resoure Rocord:
MANDALAY <00> ACTIVE UNIQUE NOTPERM INCONFLICT
NOTDEREGED B-NODE
MANDALAY <00> ACTIVE GROUP NOTPERM NOCONFLICT
NOTDEREGED B-NODE
**** Name release sent to 192.168.234. 222.
(etc.)
Khóa chuyển đổi /ASTAT truy lục trạng thái bộ điều hợp từ xa từ nạn nhân,
và /CONFLICT gửi các gói tin tách tên cho từng tên trong bảng tên từ xa của
máy, các máy phản ứng lại yêu cầu về trạng thái bộ điều hợp. Một tin tặc có
thể tấn công DoS trên toàn bộ một mạng lưới có sử dụng khóa chuyển đổi
QUERY (tên IP) /CONFLICT/NENY (tên_or_tệp).
Máy chủ
khi bị tấn công có thể có những triệu chứng sau:
• Xuất hiện sự cố khả năng liên kết mạng theo giai đoạn
• Những công cụ như Network Neighborhood hoạt động
• Các tương ứng lệnh net send không phát huy tác dụng
• Máy chủ bi tấn công không xác nhân giá trị các đăng nhập miền
• Không thể tiếp cận các tài nguyên dùng chung và một số dịch vụ
NetBIOS cơ bản như giải pháp tên NetBIOS.
• Lệnh nbtstat-n có thể
hiển thị trạng thái “Conflict”(Xung đột) bên cạnh
dịch vụ tên NetBIOS, cụ thể như sau:


Local Area Connection
Node IpAddress: (192.168.234. 222) Scope Id: []
NetBIOS Local Name Table
Name Type Status
--------------------------------------------------------------------------------
MANDALAY <00> UNIQUE Conflict
MANDALAYS <00> GROUP Registered
MANDALAYS <1C> GROUP Registered
MANDALAY <20> UNIQUE Conflict
MANDALAYS <1E> GROUP Registered
MANDALAYS <1D> UNIQUE Conflict
.. _ MSBROWS_ <01> GROUP Registered
MANDALAYS <1B> UNIQUE Conflict
Inet~Servics <1C> GROUP
Registered
IS~MANDALAY.. <00> UNIQUE Conflict

◙ Các biện pháp đối phó NBNS DoS
Hãy đổ lỗi cho IBM (NetBIOS đã được phát minh). NetBIOS là một định ước
chưa được xác minh đã đươc ứng dụng. Bộ phận định vị của Microsoft đã tạo
ra phím Registry, phím này dừng việc thừa nhận tin nhắn Name Release của
NetBIOS Name Service. Bộ phận định vị của Name Conflict chỉ được dùng để
thừa nhận tin nhắn NBNS Name Conflict khi đang trong giai đo
ạn đăng ký.
Trong thời gian này máy vẫn có thể bị tấn công. Các bộ phận định vị và các
thông tin khác có thể được cập nhật trên trang web: http://
www.microsoft.com/technet/security/bulletin/MS00-047. asp. Giải pháp đối
phó tạm thời này không nằm trong SP1, vì vậy nó có thể được áp dụng cho cả
hệ thống trước và sau SP1.
Lẽ đương nhiên, giải pháp lâu dài là phải chuyển đi từ NetBIOS trong các môi

trường mà tình trạng phá rối có thể xảy ra. Tất nhiên, phải luôn đảm bảo rằng
UDP 137 không thể bị
tiếp cận từ bên ngoài khu vực bảo vệ.
LEO THANG ĐẶC QUYỀN
Một khi giới tin tăc đã tiếp cận một máy chủ trong hệ thống Windows 2000,
ngay lập tức chúng sẽ tìm cách để có được đặc quyền hợp pháp: Administrator
account. May mắn là Windows 2000 có khả năng chống cự lại tốt hơn các
phiên bản trước đó khi bị tấn công. (rất ít khi nó rơi vào tình trạng rễ bị tấn
công như trước nh
ư: sử dụng biện pháp đối phó tạm thời cho admin và
sechole). Rủi ro là ở chỗ, một khi giới tin tặc giành được đặc quyền đăng nhập
tương tác, khả năng ngăn chặn leo thang đặc quyền là rất hạn chế. (đăng nhập
tương tác sẽ được mở rộng nhiều hơn khi Windows 2000 Terminal Server trở
lên phổ biến trong việc quản lí từ xa và chi phối khả năng xử lí.) Sau đây
chúng ta sẽ
xem xét hai ví dụ

☻
Dự báo đường dẫn tên mã hóa là SYSTEM

Tính phổ biến:
4
Tính giản đơn:
7
Tính hiệu quả:
10
Mức độ rủi ro:
7

Được khám phá bởi Mike Schiffman và gửi cho Bugtraq (ID 1535), khả năng

dự đoán về việc chế tạo ký hiệu ống dẫn có tên khi Windows 2000 bắt đầu hệ
thống dịch vụ (như Server, Worksation, Alerter và ClipBook đều được nhập
vào dưới trương mục SYSTEM) được khám phá từ điểm yếu trong leo thang
đặc quyền cục bộ khi. Trước khi mỗi dịch vụ đươc bắt đầu, một ký hiệu ống
dẫn có tên cạ
nh máy chủ được tạo ra với một chuỗi tên có thể dự đoán được.
Chuỗi này có thể thu được từ khoá Registry
HKLM\System\CurrentControlSet\Control\ServiceCurrent.
Vì vậy, bất kỳ ai sử dụng Windows 2000 đã được nhập tương tác (bao gồm cả
những người sử dụng Terminal Server từ xa ) có thể dự đoán tên của một
chuỗi ký hiệu ống dẫn có tên. Minh họa và áp dụng nội dung an ninh của
SYSTEM sẽ được trình bày vào lần sau. Nế
u một mã tùy chọn nào đó được
cài đặt vào ký hiệu ống dẫn, nó sẽ vận hành với các đặc quyền SYSTEM, làm
cho nó chỉ có khả năng thực hiện đối với hệ thống cục bộ (vídụ: bổ sung thêm
người sử dụng hiện thời vào nhóm Administrator).
Khai thác điểm yếu trong dự đoán ký hiệu ống dẫn có tên là trò chơi của trẻ
em khi sử dụng công cụ PipeUpAdmin từ Maceo. PipeUpAdmin bổ sung
tr
ương mục người sử dụng hiện thời vào nhóm Administrator cục bộ, như
được trình bày ví dụ dưới đây. Ví dụ này thừa nhận Wongd người sử dụng là
đã được xác minh với việc tiếp cận tương tác với bàn giao tiếp người-máy
bằng lênh. Wongd là một thành viên của nhóm điều khiển Server Operators.
Trước hết, Wongd kiểm tra hội viên của nhóm Administrators cục bộ nắm mọi
quyền lực.
C:\>net localgroup administrators
Alias name administrators
Comment administrators have complete and unrestricted access to the
Computer/domain


Members