Hilfe
Neues Thema
Antworten
geschrieben Zitat
Eine im Januar 2004 entdeckte Lücke in Microsofts SMB-Protokoll ermöglicht es einem Angreifer, bei Windows 2000/NT ohne jegliche Authentifizierung den Status aller Windows-Dienste und das Event-Log abzurufen.
Die Lücke beruht auf den sogenannten Null-Sessions des SMB-Protokolls. Das sind SMB-Zugriffe, die keine Authentifizierung erfordern. In solchen Null-Sessions sind über Named Pipes unter anderem anonyme Aufrufe von Remote Procedure Calls (RPC) möglich, die sich über Named Pipes erreichen lassen. Eine solche Named Pipe hat beispielsweise folgende Form:
\\<rechner>\IPC$\pipe\browser
Jean-Baptiste Marchard warnt in einem Advisory, dass über solche Named Pipes der Service Control Manager (SCM) und der Eventlog-Dienst anonym zu erreichen sind. Laut Marchard könnte ein anonymer Benutzer sogar Dienste kontrollieren, die die Gruppe "Jeder" (EVERYONE) starten oder beenden darf. Des weiteren hat er Zugriff auf das Applikations und System-Eventlog, nicht jedoch auf das Security-Log, das spezielle Rechte erfordert.
Prinzipiell stellen auch neuere Windows-Versionen Named Pipes für RPC-Dienste bereit -- die beschriebenen Sicherheitslecks beziehen sich aber speziell nur auf Windows NT 4 und Windows 2000. Für Windows 2000 mit Service Pack 4 hat Microsoft Ende Juni 2005 nun einen Fix in das Rollup Package 1 implementiert.
Marchard beschreibt in seinem Advisory als Workaround diverse Registry-Einträge, die die anonymen Zugriffe auch bei Windows NT 4 unterbinden. In den Registry-Zweigen HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ und HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\ ist jeweils ein REG_DWORD "RestrictGuestAccess" anzulegen und auf 1 zu setzen. Um das anonyme Starten und Beenden von Diensten zu unterbinden, sollte aus der Systemgruppe "Jeder" die SID "Anonym" entfernt werden.
Zugriffe auf SMB erfolgen über die TCP-Ports 139 (SMB über NetBIOS) oder 445 (SMB über TCP). Diese Ports sollten Administratoren auf Firewalls grundsätzlich sperren. Der Nessus Schwachstellen-Scanner wurde um entsprechende Plugins erweitert, die diese Sicherheitslücken erkennen.
Für nähere Informationen hierzu siehe auch:
- Security Advisory auf Full Disclosure
- Präsentation über NULL-Session-Lücken von Jean-Baptiste Marchard von HSC
Die Lücke beruht auf den sogenannten Null-Sessions des SMB-Protokolls. Das sind SMB-Zugriffe, die keine Authentifizierung erfordern. In solchen Null-Sessions sind über Named Pipes unter anderem anonyme Aufrufe von Remote Procedure Calls (RPC) möglich, die sich über Named Pipes erreichen lassen. Eine solche Named Pipe hat beispielsweise folgende Form:
\\<rechner>\IPC$\pipe\browser
Jean-Baptiste Marchard warnt in einem Advisory, dass über solche Named Pipes der Service Control Manager (SCM) und der Eventlog-Dienst anonym zu erreichen sind. Laut Marchard könnte ein anonymer Benutzer sogar Dienste kontrollieren, die die Gruppe "Jeder" (EVERYONE) starten oder beenden darf. Des weiteren hat er Zugriff auf das Applikations und System-Eventlog, nicht jedoch auf das Security-Log, das spezielle Rechte erfordert.
Prinzipiell stellen auch neuere Windows-Versionen Named Pipes für RPC-Dienste bereit -- die beschriebenen Sicherheitslecks beziehen sich aber speziell nur auf Windows NT 4 und Windows 2000. Für Windows 2000 mit Service Pack 4 hat Microsoft Ende Juni 2005 nun einen Fix in das Rollup Package 1 implementiert.
Marchard beschreibt in seinem Advisory als Workaround diverse Registry-Einträge, die die anonymen Zugriffe auch bei Windows NT 4 unterbinden. In den Registry-Zweigen HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ und HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\ ist jeweils ein REG_DWORD "RestrictGuestAccess" anzulegen und auf 1 zu setzen. Um das anonyme Starten und Beenden von Diensten zu unterbinden, sollte aus der Systemgruppe "Jeder" die SID "Anonym" entfernt werden.
Zugriffe auf SMB erfolgen über die TCP-Ports 139 (SMB über NetBIOS) oder 445 (SMB über TCP). Diese Ports sollten Administratoren auf Firewalls grundsätzlich sperren. Der Nessus Schwachstellen-Scanner wurde um entsprechende Plugins erweitert, die diese Sicherheitslücken erkennen.
Für nähere Informationen hierzu siehe auch:
- Security Advisory auf Full Disclosure
- Präsentation über NULL-Session-Lücken von Jean-Baptiste Marchard von HSC
Quelle heise online: http://www.heise.de/...r/meldung/61482
Nach oben
