все большее распространение получают атаки на
доступность данных. Возможность их успешного
проведения вытекает из уязвимости базовых
протоколов информационного обмена в сети
Интернет. Кроме этого, имеются типичные слабости
реализации протоколов TCP/IP, наследуемые
современными операционными системами.
Рассмотрим атаки на доступность базовых функций
Windows NT, получившие распространение в 1997-1998 rr. и
вызвавшие необходимость разработки фирмой Microsoft
специальных дополнений программного
обеспечения. Следствием проведения таких атак
является нарушение функционирования всей
системы вне зависимости от используемого
прикладного программного обеспечени! В скобках
указаны номера и названия ее сответствующих
документов в Microsoft Knowledge Base (KB).
Атака OOB
Выполняется на порт 139 (NetBIOS). В случае
доступности сервиса на атакуемый компьютер
посылается сообщение, задаваемое
злоумышленником. При этом используется режим
передачи Out-of-Band, то есть вне очереди, с высоким
приоритетом. При получении пакета указанного
типа с установленным флагом Urgent система ставит
маркер на входной поток данных, ожидая получения
следующего фрагмента сообщения. Последствия
атаки зависят от версии программного
обеспечения, конфигурации ceтевых протоколов и
т.д. и вызывают либо крах системы с ошибкой A Stop
ОхОООООООА в модуле Tcpip.sys, либо отказ в сетевом
информационном обмене.
Данная атака воздействует на Windows NT 3.51 и 4.0, а
также Windows 95. [Q143478: Stop OA in TCPIP.SYS When Receiving Out Of Band (OOB)
Data]
Защита: дополнение oob-fix в зависимости от
версии Windows NT и установ- ленного пакета
обновления.
Атака GetAdmin
В сети Интернет была распространена утилита
GetAdmin, которая предоставляла обычным
пользователям права администратора системы
путем включения идентификаторов пользователей в
группу Administrators. GetAdmin использовала уязвимость
одной из низкоуровневых функций, которая не
проверяет свои параметры, что позволяет передать
при ее вызове значения, отключающие контроль
привилегий отладчика. Это дает возможность
подключаться к любому процессу, запущенному в
системе, и, в свою очередь, запускать подпроцесс в
контексте безопасности данного процесса.
Утилита GetAdmin подключалась к процессу WinLogon,
который работает в контексте безопассти системы,
и, используя стандартные функции, добавляла
необходимого пользователя в группу Administrators. В
результате осуществлялось несанкционированное
наделение легального пользователя правами
администратора системы, что приводило к
возможности несанкционированного доступа под
именем администратора.
Атака применима к Windows NT 4.0 Workstation и Server. В Windows NT 3.51
указанная уязвимость отсутствует. [Q146965: GetAdmin Utility
Grants Users Administrative Rights]
Защита: дополнение getadmin-fix, зависящее от
версии Windows NT и установленного пакета обновления.
Дополнение не позволяет отключать проверку
привилегий отладчика, чем достигается
невозможность подключения к какому-либо
процессу и запуска задач от его имени. Необходимо
заметить, что любой пользователь, которому были
предоставлены права "Debug Programs", всегда
сможет успешно воспользоваться утилитой GetAdmin
для получения прав администратора (поскольку
права "Debug Programs" позволяют каждому
пользователю подключаться к любому процессу).
Следовательно, правами "Debug Programs" должны
наделяться лишь доверенные пользователи (при
установке системы эти права предоставляются
только членам группы Administartors).
Атака Ssping/Jolt
Атака, названная по имени реализующих программ,
состоит в посылке нескольких
дефрагментированных пакетов IСМР (IСМР_ЕСНО)
больших размеров по частям. ОС Windows NT, пытаясь
собрать пакет, зависает, что может привести к
нарушению целостности данных. Атака действует
аналогичным образом на ранние реализации POSIX и
SYSV.
Может быть применима к Windows NT 4.0 Workstation и Server, Windows NT
3.51 Workstation и Server, Windows 95. [Q154174: Invalid 1СМР Datagram Fragments Hang
Windows NT, Win 95]
Защита: дополнение icmp-fix, зависящее от версии
Windows NT и установленного пакета обновления.
Атака на службы Simple TCP/IP
Злоумышленник посылает поток дейтаграмм UDP по
широковещательному адресу подсети, в которой
находится компьютер Windows NT с установленными
службами Simple TCP/IP. Исходный адрес таких пакетов
подделан, в качестве порта назначения указан
порт 19 (сервис chargen). Компьютер Windows NT отвечает на
каждый такой запрос, вызывая лавину дейтаграмм
UDP. Это приводит к существенному увеличению
трафика подсети и лишает легальные службы
возможности информационного обмена.
Атака применима к Windows NT 4.0 Workstation и Server. [Q15446: Denial of
Service Attack Against WinNT Simple TCP/IP Services]
Защита: дополнение simptcp-fix, зависящее от версии
Windows NT и установленного пакета обновления.
Дополнение вносит изменения в TCP/IP, Windows Sockets и Simple
TCP/IP, препятствующие возможности осуществления
таких атак.
Атака LAND
Названа по имени распространенной в сети
Интернет реализации. Заключается в посылке
пакетов TCP с флагом SYN (инициа- лизация
соединения), в которых исходный адрес и порт
равны адресу и порту назначения. Вследствие
этого происходит "зацикливание"
информационных пакетов с установленным флагом
АСК: атакуемый компьютер посылает сам себе
большое количество пакетов. Это приводит к
существенной потере вычислительных ресурсов, а в
ряде случаев и к аварийному завершению Windows NT.
Атака применима к Windows NT 4.0 Workstation и Server, а также
Windows 95. [Q165005: Windows NT Slows Down Due to Land Attack]
Защита: дополнение land-fix, зависящее от версии
Windows NT и установленного пакета обновления.
Атака TEARDROP
Названа по имени распространенной в сети
Интернет реализации. Состоит в отправке
специально созданных пар фрагментированных IP-
пакетов, которые после приема собираются в
некорректную дейтаграмму UDP. Перекрывающиеся
смещения вызывают перезапись данных в середине
заголовка UDP-дейтаграммы, содержащегося в первом
пакете, вторым пакетом. В результате образуется
незаконченная дейтаграмма, размещаемая в
области памяти ядра Windows NT. Получение и обработка
большого количества таких пар пакетов приводят к
аварийному завершению Windows NT с сообщением STOP
ОхОООООООА.
Применяется к Windows NT 4.0 Workstation и Server. [Q179129: STOP
ОхОООООООА Due to Modified Teardrop Attack]
Защита: дополнение teardrop2-fix. зависящее от
версии Windows NT и установленного пакета обновления.
Атака Denial of Service
По протоколу SMB посылается запрос на
подключение к серверу Windows NT с указанием
неверного размера последующих данных. Обработка
сервером такого запроса приводит к аварийному
завершению системы с выдачей сообщения STOP
ОхОООООООА (STOP 0х00000050) или к ее зависанию.
Применяется к Windows NT 4.0 Server. [Q180963: Denial of Service Attack Causes
Windows NT Systems to Restart]
Защита: дополнение srv-fix, зависящее от версии
Windows NT и установленного пакета обновления.
Атака SECHOLE
Свое название получила по имени
распространенной в сети Интернет программы.
Аналогична атаке GetAdmin с той разницей, что для
получения привилегий отладки использует
интерфейсную функцию OpenProcess. В результате
легальный пользователь несанкционированно
наделяется правами администратора.
Применяется к Windows NT 4.0 Workstation и Server, Windows NT 3.51
Workstation и Server. [Q190Z88: SecHole Lets Nonadministrative Users Gain Debug Level
Access]
Защита: дополнение priv-fix, зависящее от версии
Windows NT и установленного пакета обновления.
Атака ICMP Request
Заключается в посылке пакета 1СМР Subnet Mask Address
Request по адресу сетевого интерфейса,
сконфигурированного на использование
нескольких IP-адресов, принадлежащих одной
подсети. Система Windows NT аварийно завершается с
подачей сообщения STOP STOP ОхОООООООА (ОхАООЗЗООО,
0х00000002, 0х00000000, Oxf381329B), где четвертый параметр
относится к области памяти модуля Tcpip.sys.
Применяется к Windows NT 4.0 Workstation и Server. [Q192774: Stop OxOOOOOOOA
in Tcpip.sys Processing an ICMP Packet].
Описанная уязвимость была впервые
ликвидирована в пакете обновления Windows NT Service Pack 4.
Атака прослушивания портов
Представляет собой специальные действия, при
которых приложение или служба Windo.wsNT может
получать доступ к информации, передаваемой и
получаемой на некоторые порты по протоколам TCP и
LJDP. "Прослушивание" портов, открытых другими
приложениями, позволяет получать
несанкционированный доступ к информационному
обмену, осуществляемому через эти порты.
Атака применима к Windows NT 4.0 Workstation и Server. [Q194431:
Applications May Be Able to "Listen" on TCP or LJDP Ports]
Описанная уязвимость впервые ликвидирована в
пакете обновления Windows NT Service Pack 4.
Атака с использованием служб Named Pipes
Состоит в применении механизма удаленного
вызова процедур (RPC) с использованием
транспортного протокола Named Pipes. Различные
разновидности этой атаки создают несколько
удаленных соединений с системой Windows NT и посылают
случайные данные. Служба RPC атакуемого
компьютера пытается обработать и закрыть
удаленные соединения. При закрытии некорректных
соединений загрузка процессора и использование
системной памяти возрастают до 100%, в ряде случаев
это приводит к зависанию системы.
Применяется к Windows NT 4.0 Workstation и Server. [Q195733: Denial of
Service in Applications Using Named Pipes over RPC]
Защита: пакет обновления Windows NT Service Pack 4 и
дополнение nprpc-fix.
Атака сетевого доступа
В подсистеме сетевой аутентификации Windows NT 4.0
Service Pack 4 допущена ошибка, заключающаяся в
неправильной обработке регистрационной
информации пользователей. В случае, когда
пользователь Windows NT работает под управлением Windows
for Workgroups, OS/2 или Macintosh и изменяет свой доменный
пароль, контроллер домена Windows NT сохраняет в базе
SAM только часть образа пароля пользователя,
применяемую для совместимости с указанными
системами. В этом случае регистрационная
информация, применяемая для аутентификации
пользователей Windows 95/98 и Windows NT, устанавливается в
базе SAM в нулевое значение. Полученная таким
образом регистрационная информация может быть
использована для подключения к домену Windows NT под
именем данного пользователя без пароля.
Подключение может быть осуществлено клиентами
Windows 95/98 и Windows NT. Используется для
несанкционированного доступа к ресурсам системы
Windows NT под именем существующего пользователя.
Описанная процедура изменения пароля требует
его знания и может быть осуществлена только
легальным пользователем.
Применяется к Windows NT 4.0 Server Service Pack 4. [Q214840: MSV1_0 Allows
Network Connections for Specific Accounts]
Защита: пакет обновления Windows NT Service Pack 4 и
дополнение MSVI-fix.
Атака с применением маршрутизации,
основанной на источнике
В реализации стека протокола TCP/IP Windows NT 4.0
отсутствует возможность отключать режим
маршрутизации IP-пакетов, при котором решение о
маршруте доставки ответного пакета принимается
на основании информации, заданной полученным
пакетом. Уязвимость может быть применена для
атак на доступность и, в некоторых случаях, на
целостность информации. Необходимость
обязательного отключения режима маршрутизации,
основанной на источнике, была обоснована в
бюллетене СЕКТ СА-95.01 (1995 г.).
Применяется к Windows NT 4.0 Workstation и Server Service Pack 4. [Q217336:
TCP/IP Source Routing Feature Cannot Be Disabled]
Описанная уязвимость впервые устранена в
пакете обновления Windows NT Service Pack 5.
Атака подмены системных функций
Заключается в подмене злоумышленником
системных функций Windows NT. Для этого в память Windows NT
загружается динамическая библиотека (DLL) с
именем, совпадающим с одной из системных
библиотек. Затем злоумышленник может
программным путем изменить в списке системных
модулей KnownDLLs ссылку на подмененную системную
библиотеку. После этого все вызовы к данной
системной библиотеке будут обрабатываться
модулем злоумышленника. В случае подмены
определенных системных функций возможно
несанкционированное наделение пользователей
правами администратора. Описываемая уязвимость
позволяет существующим пользователям
несанкционированно получать права
администратора локальной или удаленной системы
Windows NT.
Применяется к Windows NT 3.51,4.0 Workstation и Server. [Q218473: Restricting
Changes to Base System Objects]
Защита: пакет обновления Windows NT Service Pack 4 и
дополнение Smss-fix.
Атака с использованием хранителя экрана
Запуск хранителя экрана Windows NT4.0 во время
пользовательской сессии осуществляется с
привилегиями системного уровня. После старта
хранителя экрана происходит немедленное
переключение контекста безопасности на уровень,
соответствующий данному пользователю. При этом
отсутствует проверка успешности результата
такого переключения. В случае, если переключение
контекста безопасности окончилось неуспешно,
хранитель экрана продолжает работать с
привилегиями системного уровня.
Атака применима к Windows NT 4.0 Workstation и Server Service Pack 4.
[Q221991: Screen Saver Vulnerability Lets User Privileges be Elevated].
Защита: пакет обновления Windows NT Service Pack 4 и
дополнение ScrnSav-fix.
Атака Mail Relaying
Средства организации почтового обмена с
применением протокола SMTP должны предоставлять
защиту от несанкционированного использования
почтовых серверов для посылки писем с подделкой
исходной адресной части (mail relaying). Exchange Server
предоставляет возможности защиты от указанных
атак, однако в случае использования
инкапсулированных адресов SMTP при обмене
почтовыми сообщениями соответствующих проверок
не производится. Злоумышленниками эта
уязвимость может быть использована для посылки
сообщений от имени почтового сервера под
управлением Exchange Server посредством инкапсуляции
адресов SMTP с подделкой исходной адресной части.
Атака применима к Exchange Server. [Q237927: XIMS: Messages Sent to
Encapsulated SMTP Address Are Rerouted Even Though Rerouting Is Disabled]
Защита: пакет обновления Exchange Server Service Pack 2 и
дополнение imc-fix.
Атака с использованием протокола IGMP
При получении специально подготовленных
фрагментированных пакетов по протоколу Internet Group
Management Protocol (IGMP) существенно снижается
производительность, может произойти зависание
компьютера.
Атака применима к Windows NT 4.0 Workstation и Server Service Pack 5,
Windows 95/98. [Q2383Z9: Malformed IGMP Packets May Promote "Denial of Service"
Attack]
Защита: пакет обновления Windows NT Service Pack 5 и
дополнение IGMP-tix.
Атака с применением маршрутизации,
основанной на источнике-2
Пакетом обновления Service Pack 5 в реализации стека
протокола TCP/IP Windows NT 4.0 добавлена возможность
отключать режим маршрутизации IP-пакетов, при
котором решение о маршруте доставки ответного
пакета принимается на основании информации,
заданной полученным пакетом. Однако имеется
возможность обходить это ограничение путем
посылки специально подготовленных пакетов,
содержащих некоторое определенное или
некорректное значение указателя на маршрут
доставки. Уязвимость может быть использована для
атак на доступность и, в некоторых случаях, на
целостность информации. Необходимость
обязательного отключения режима маршрутизации,
основанной на источнике, была обоснована в
бюллетене СЕКТ СА-95.01 (1995 г.).
Атака применима к Windows NT 4.0 Workstation и Server Service Pack 5,
Windows 95/98. [Q238453: Data in Route Pointer Field Can Bypass Source Routing Disable]
Защита: пакет обновления Windows NT Service Pack 5 и
дополнение Spoof-fix.
Уязвимость генератора помледовательных
портов TCP-соединений
Уязвимость состоит в возможности предсказания
текущего последовательного номера пакета
данных, передаваемого в рамках установленной
сессии по протоколу TCP, и, как следствие, в
осуществлении несанкционированного
информационного обмена. Использование в
качестве генератора последовательных номеров
TCP-соединений функции, имеющей
"предсказуемый" результат, может быть
применено в целях успешного осуществления атак
на доступность, целостность и
конфиденциальность информации. Необходимость
обязательного использования генератора номеров
TCP-соединений со свойствами, максимально
близкими к вычислению случайных значений, была
обоснована в бюллетене CERT СА-95.01 (1995 г.).
Атака применима к Windows NT 4.0 Workstation и Server Service Pack 4.
[Q243835: How to prevent Predictable TCP/IP Initial Sequence Numbers]
Защита: дополнение q243835.
Выводы
Надежная защита от описанных выше атак
фактически сводится к созданию условий, при
которых их реализация становится невозможной
либо существенно затрудняется. При этом массовое
применение адекватных защитных мер может быть
затруднено по ряду причин. В целях частичного или
полного воспрепятствования попыткам
использования злоумышленниками слабостей Windows NT
следует применять средства управления передачей
потенциально опасных пакетов данных. Такими
средствами являются межсетевые экраны,
осуществляющие контроль над информацией,
поступающей или выходящей из интрасети
организации, и обеспечивающие защиту путем
анализа потоков данных. Применение
сертифицированных межсетевых экранов позволяет
защитить массивы данных, хранимые и
обрабатываемые в сетях под управлением
операционной системы Windows NT.