Ataques sessão nula e como evitá-los

A vulnerabilidade conhecida dentro do Windows pode mapear uma ligação anónima (ou sessão nula

) Para um compartilhamento oculto chamado IPC $ (que está para comunicação entre processos). Este método de corte pode ser utilizado para

  • Reunir o Windows informações de configuração de host, como IDs de usuário e nomes de compartilhamento.

  • Editar partes do registro do computador remoto.

Embora o Windows Server 2008, Windows XP, Windows 7 e Windows 8 não permitem conexões de sessões nulas por padrão, o Windows 2000 Server faz - e (infelizmente) muitos desses sistemas ainda estão por aí para causar problemas na maioria das redes.

Mapear uma sessão nula

Siga estes passos para cada computador Windows para o qual pretende mapear uma sessão nula:

  1. Formatar o básico líquido de comando, assim:

    net use host_name_or_IP_address ipc $ "" "/ user:"

    o líquido comando para mapear sessões nulas requer os seguintes parâmetros:

  2. líquido seguido pela usar comando

  3. O endereço IP ou nome do host do sistema para o qual você deseja mapear uma conexão nula

  4. Uma senha em branco e nome de usuário

  5. Pressione Enter para fazer a conexão.

    Depois de mapear a sessão nula, você deverá ver a mensagem O comando foi concluído com êxito.

    image0.jpg

Para confirmar que as sessões são mapeados, digite este comando no prompt de comando:

net use

Você deve ver os mapeamentos para o compartilhamento IPC $ em cada computador ao qual você está conectado.

recolher informações

Com uma conexão de sessão nula, você pode usar outros utilitários para reunir informações críticas do Windows remotamente. Dezenas de ferramentas podem recolher este tipo de informação.

Você - como um hacker - pode levar o resultado destes programas de enumeração e tentar

  • Quebrar as senhas dos usuários encontrados.

  • Mapear unidades para as partilhas de rede.

Você pode usar os seguintes pedidos de enumeração sistema contra versões de servidor do Windows anteriores ao Server 2003, bem como o Windows XP.

net view

o net view comando mostra ações que o host do Windows tiver disponível. Você pode usar a saída deste programa para ver as informações que o servidor está anunciando para o mundo e que pode ser feito com ele, incluindo o seguinte:

  • Compartilhar informações de que um hacker pode usar para atacar seus sistemas, tais como unidades de mapeamento e rachaduras compartilhar senhas.

  • As permissões de compartilhamento que talvez precisem ser removidos, como a permissão para o grupo Todos, pelo menos ver a participação em sistemas baseados no Windows 2000 mais antigos.

    image1.jpg

informações de configuração e do usuário

Winfo e DumpSec pode reunir informações úteis sobre os usuários e configurações, tais como

  • domínio do Windows ao qual o sistema pertence

  • definições de política de segurança

  • usernames locais

  • compartilhamentos de unidades

Sua preferência pode depender se você gosta de interfaces gráficas ou uma linha de comando. Winfo é uma ferramenta de linha de comando. O que se segue é uma versão abreviada de saída de um servidor Windows NT de Winfo, mas você pode recolher a mesma informação de outros sistemas Windows:

Winfo 2.0 - Copyright (C) 1999-2003, Arne Vidstrom- https://ntsecurity.nu/toolbox/winfo/SYSTEM INFORMAÇÕES: - OS versão: POLÍTICA 4.0PASSWORD: - Tempo entre o final do tempo de logon e logoff forçado: Sem forçado logoff- idade máxima da senha: 42 dias- da senha mínima: 0 dias- comprimento história password: 0 passwords- comprimento da senha mínima: 0 CONTAS charactersUSER: * administrador (Esta conta é o built-in conta de administrador) * doctorx * Visitante (Esta conta é o built-in conta de convidado) * IUSR_WINNT * kbeaver * nikkiSHARES: * ADMIN $ - Tipo: participação especial reservado para IPC ou partilha administrativa * IPC $ - Tipo: Unknown * Tipo Here2Bhacked-: disco rígido * C $ - Tipo: participação especial reservado para IPC ou administrativa share * Tipo Finance-: unidade de disco * Tipo HR-: unidade de disco

Esta informação não pode ser adquirida a partir de uma instalação padrão do Windows Server 2003, Windows XP, Windows 7 ou Windows 8.

Você pode ler a saída de tais ferramentas para IDs de usuários que não pertencem em seu sistema, como

  • contas de ex-empregados que não tenham sido desativados

  • contas de backdoor potenciais que um hacker possa ter criado

NetUsers

o ferramenta NetUsers pode mostrar que tem ligado para um computador Windows remoto. Você pode ver as informações que

  • privilégios de conta abusadas

  • Usuários atualmente registrados no sistema

    image2.jpg

Esta informação pode ajudar a controlar, para fins de auditoria, que é o login em um sistema. Infelizmente, esta informação pode ser útil para hackers quando eles estão tentando descobrir o que o usuário estão disponíveis para quebrar IDs.

Medidas contra hacks sessão nula

Se isso faz sentido para os negócios e é a hora certa, upgrade para o Windows Server mais seguro 2012 ou o Windows 7. Eles não têm as vulnerabilidades descritas na lista a seguir.

Você pode facilmente evitar hacks de conexão de sessão nula através da implementação de uma ou mais das seguintes medidas de segurança:

  • NetBIOS bloco em seu servidor Windows, impedindo que estas portas TCP de passar através de seu firewall de rede ou firewall pessoal:

  • 139 (sessões serviços NetBIOS)

  • 445 (corre SMB sobre TCP / IP, sem NetBIOS)

  • Desativar o Compartilhamento de arquivos e impressoras para redes Microsoft na guia Propriedades de conexão de rede do computador para os sistemas que não precisam dele.

  • Restringir conexões anônimas ao sistema. Para o Windows NT e Windows 2000 sistemas, você pode definir HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control LSA RestrictAnonymous para um valor DWORD como se segue:

  • Nenhum: Esta é a configuração padrão.

  • Conta com as permissões padrão (de 0): Esta configuração permite que as conexões de sessão nula padrão.

  • Não permitir enumeração de contas e compartilhamentos SAM (Configuração 1): Esta é a definição do nível de segurança médio. Esta configuração permite ainda sessões nulas para ser mapeado para IPC $, permitindo que ferramentas como Walksam para angariar informações do sistema.

  • Sem acesso sem permissões anônimas explícitas (definição 2): Essa configuração de segurança alta impede conexões de sessões nulas e enumeração sistema.

  • O artigo 246261 do Microsoft Knowledge Base abrange as dicas de uso a configuração de alta segurança RestrictAnonymous. Ele está disponível na web em https://support.microsoft.com/default.aspx?scid=KB-en-us-246261.

    image3.jpg

    menu