Инвентаризация учетных записей пользователей

Системы семейства Windowsимеют уязвимость при использовании протоколов CIFS/SMBи NetBIOSв режиме настроек, используемых по умолчанию. В состав стандартов CIFS/SMBи NetBIOSвходят программные интерфейсы, возвращающие различную информацию о компьютере через порт 139 протокола TCP. Эти данные смогут получить даже анонимные  пользователи, т.е. те, которые не прошли аутентификацию в системе. Для того, чтобы получить информацию от системы по 139-му порту, первым делом необходимо создать анонимное подключение с помощью так называемого нулевого сеанса (null session). Пусть в результате ранее выполненного сканирования портов установлено, что TCP-порт 139 находится в состоянии ожидания соединения. Это соединение можно установить с помощью такой команды: netuse \\192.168.202.33\IPC$ "" /u:"". При выполнении этой команды происходит подключение к каналу связи между процессами (share) IPC$ по IP-адресу 192.168.202.33 в качестве анонимного пользователя (/u: "") спустым паролем (""). В случае, если попытка подключения будет успешной, взломщик получает канал, через который можно попытаться применить различные методы получения информации о сети, совместно используемых ресурсах, пользователях, группах, ключах системного реестра и т.д. Большинство методов сбора информации используют недостаток системы безопасности Windows, состоящий в предоставлении возможности анонимного подключения и инвентаризации определенных ресурсов без аутентификации. Этот недостаток: нулевой сеанс или анонимное подключение (anonymouslogon) — является единственной существенной возможностью, с помощью которой потенциальные взломщики могут получить всю нужную им информацию. Таким образом нулевой сеанс по порту 139 является универсальным инструментом для получения информации о учетных записях пользователей на удаленном компьютере.

Однако, получить имена учетных записей пользователей можно и без использования нулевой сессии, при помощи встроенной в операционную систему утилиты nbtstat и ее дополнения — свободно распространяемой программы nbtscan. Обе утилиты позволяют получить дамп удаленной таблицы имен NetBIOS, и, что очень важно, при этом не требуется открывать нулевой сеанс. Так что имена пользователей будут получены независимо от того, правильно ли установлено значение параметра RestrictAnonymous системного реестра.

Инвентаризация сетевых приложений и идентификационных маркеров

А как насчет получения списка приложений, установленных на компьютере? Эта информация способна значительно расширить возможности проникновения в систему. Процесс подключения к удаленным сетевым приложениям и наблюдение за результатами их реакции на такое подключение называется сбором маркеров (banner grabbing). Данные, полученные после исследования удаленной системы таким способом часто оказываются неожиданно информативным для взломщика. В процессе сбора маркеров можно идентифицировать программное обеспечение, запущенное на удаленном компьютере, его версию и условия функционирования. Эта информация, в свою очередь, дает возможность осуществить проникновение через уже известные уязвимости программного обеспечения, о которых потенциальный взломщик может с легкостью узнать в сети Internet.

Самым испытанным и надежным инструментом инвентаризации идентификационных маркерови приложений является входящая в состав операционной системы утилита telnet. С ее помощью устанавливается соединение с известным портом исследуемого компьютера, нажимаем пару раз на клавишу <Enter> и изучаем результат.

C:\>telnet 192.168.1.112 80

HTTP/1.0 400 Bad Request Server: Netscape-Commerce/I.12

Yourbrowsersentanon-HTTPcompliantmessage.

Теперь мы знаем, что на удаленном компьютере с IP-адресом 192.168.1.112 установлен Web-сервер Netscape-Commerce/I.12.

Указанный способ определения маркеров приложений срабатывает для многих приложений, использующих фиксированный и известный порт (например  HTTP 80, 8080, SMTP 25 или FTP 21).

Полученная информация способна значительно упростить поиск уязвимостей, которые могут быть использованы для проникновения в удаленный компьютер. Когда взломщику становится известен производитель и версия программного обеспечения, он может сосредоточиться на методах проникновения, специфичных для данного программного обеспечения и перебирать проверенные приемы до тех пор, пока не получит доступ к удаленному ПК.
Далее...