Korištenje kompleksne lozinke nije vam dovoljno da biste se osjećali sigurnima? Držite se Microsoftovih preporuka da biste loše momke držali podalje od vaše Windows domene? Za preimenovanje administratorskog korisničkog računa čuli ste i od klinaca iz kvarta i odmah ste to primijenili? Iako mnoge to neće iznenaditi, sve navedeno neće vas uvijek spasiti od napada kojim napadač može doznati ne samo informacije o serveru i dijeljenim resursima nego i podatke iz Security Accounts Manager (SAM) baze.

Uspostavljanje anonimnog pristupa

Microsoftovi operativni sustavi bazirani na NT jezgri podržavaju posebnu vrstu anonimnoga pristupa, takozvani null session, odnosno anonymous session. Zloupotrebom takvoga pristupa moguće je otkriti sadržaj SAM baze u kojoj su podaci s pohranjenim korisničkim računima i grupama. Informacije iz SAM baze, kao što je npr. korisnička oznaka koju koristi administratorski korisnički račun, mogu se smatrati izrazito osjetljivima. Njihovo otkrivanje napadaču može znatno olakšat daljnje napade.

Razlog zašto Microsoftovi operativni sustavi podržavaju anonimni pristup je jednostavan: Windowsi 2000, XP i 2003 na taj način pronalaze dijeljene resurse (npr. mape, printere) putem IPC Sharea (InterProcess Communication Share). U sigurnom okruženju anonimni pristup omogućava važnu funkcionalnost, te olakšava i ubrzava mnoge procese poput pregledavanja dijeljenih mapa. Problem, dakako, nastaje kada sigurno okruženje prestane postojati, a posebno kada znamo da najveća sigurnosne ranjivost potječe iznutra.

Tako se bilo koji korisnik, često čak i napadač koji djeluje izvana, na računalo može spojiti pomoću komande naredbenog retka

net use \\racunalo\ipc$ "" /user:""

gdje umjesto racunalo stoji NetBIOS ime računala ili IP adresa. Tada mu se dodjeljuje "prazno" korisničko ime i "prazna" lozinka. Kada uspostavi takav pristup, napadač neće imati nikakve ovlasti nad računalom, ali može otkriti korisničke oznake pohranjene na računalu, grupe kojima računalo pripada (domena, workgroup) i dijeljene resurse.

Kako iskoristiti anonimni pristup

Za napadača koji poznaje operativni sustav Windows i koristi različite javno dostupne alate, informacije dobivene anonimnim pristupom mogu imati znatnu vrijednost. Napadač koji pristupi računalu tako da uspostavi null session može razotkriti informacije o, na primjer, korisničkoj grupi "Domain Users" u domeni "Moja_domena":

S-1-5-21-642857134-390335484-612484462-513

Number of subauthorities is 5

Domain is Moja_domena

Length of SID in memory is 28 bytes

Type of SID is Sid_Type_Group

Tu je napadaču posebno zanimljiva informaciju o SID-u korisničke grupe. Znamo li da je samo zadnji slog SID-a, tzv. RID, oznaka korisničkog računa odnosno grupe, a da su ostale znamenke jedinstvene za sve račune odnosno grupe u domeni, te da je RID ugrađenog administratorskog korisničkog računa uvijek 500, možemo zaključiti da napadač koji je uspostavio anonimni pristup ima mogućnost saznati SID ugrađenog administratorskog korisničkog računa. Drugi alati omogućuju napadaču da pomoću anonimnog pristupa otkrije informacije o korisničkom računu za kojeg poznaje SID:

Name is Administrator_domene

Domain is Moja_domena

Type of SID is Sid_Type_User

Uočimo da napadač ovim postupkom vrlo brzo može saznati korisničku oznaku preimenovanog ugrađenog administratorskog računa. Osim oznake ugrađenih korisničkih računa i grupa, napadač upotrebom brutalne sile, odnosno pukim pogađanjem RID-a, može otkriti korisničke oznake svih korisničkih računa pohranjenih na računalu.

Zaštita od zloupotrebe anonimnog pristupa

Da biste korisničku oznaku ugrađenog administratorskog računa održali nedostupnom, kakva po preporuci Microsofta i treba biti, možete provesti nekoliko sigurnosnih mjera.

Najbolja zaštita od zloupotrebe anonimnog pristupa, kada napad dolazi izvana tj. iz vanjske mreže, jest upotreba vatrozida. Blokiranjem portova 135 do 139 i 445 na pristupnim točkama mreže ograničava se uspostavljanje anonimnog pristupa samo na računala koja se nalaze unutar mreže. Napadač tako neće moći anonimno pristupiti IPC Shareu iz vanjske mreže pomoću komande net use. Upotreba vatrozida, koji je konfiguriran tako da propušta samo one mrežne usluge koje želite učiniti dostupnima, spasit će vas od različitih vrsta napada. Zato je provođenje ove sigurnosne mjere svakako za preporučiti, tim više što je samo njeno provođenje danas iznimno jednostavno i dostupno.

Zaštita od anonimnog pristupa iz vlastite mreže može se provesti uređivanjem Registrya. Ako koristite operativni sustav Windows 2000, anonimni pristup možete onemogućiti konfiguriranjem (odnosno dodavanjem, ako vrijednost još ne postoji) sljedeće vrijednosti u Registryju:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Value: RestrictAnonymous

Value Type: REG_DWORD

Value Data: 0x2 (Hex)

Value Data za ovu vrijednost može biti 0, 1 ili 2. Dok je postavljena vrijednost 2, anonimni pristup koji omogućuje otkrivanje osjetljivih informacija bit će onemogućen. Postavljena vrijednost 1 omogućit će pristup osjetljivim informacijama samo određenim alatima, dok će postavljena vrijednost 0 svima omogućiti (zlo)upotrebu anonimnog pristupa. Kako se neki Windows servisi oslanjaju na anonimni pristup, njegovo onemogućavanje može dovesti do potpuno neželjenih posljedica. Neke od takvih posljedica su onemogućeno mijenjanje lozinki za korisnike starijih Microsoftovih i svih Macintosh operativnih sustava, nedostupna lista domena ili servera, onemogućeno pregledavanje ili logiranje na trusted domene? Zato je prije provođenja ove mjere nužno temeljito testirati njezine posljedice u ne-produkcijskom okruženju, te dobro odvagnuti sigurnosne prednosti i funkcionalne nedostatke koji iz provođenja mjere proizlaze.

Operativni sustavi Windows XP i 2003 uvodi više fleksibilnosti u kontrolu anonimnog pristupa i donekle umanjuje funkcionalne restrikcije koje provođenje opisane mjere može donijeti. To je postignuto uvođenjem dodatnih vrijednosti u Registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Value: RestrictAnonymousSam

Value Type: REG_DWORD

Value Data: 0x1 (Hex)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Value: EveryoneIncludesAnonymous

Value Type: REG_DWORD

Value Data: 0x0 (Hex)

Vrijednost RestrictAnonymousSam kontrolira anonimni pristup SAM bazi. Postavljena vrijednost 1 onemogućit će anonimni pristup, dok će postavljena vrijednost 0 dozvoliti. Vrijednost u Registry-u EveryoneIncludesAnonymous određuje hoće li access token korisnika sa anonimnim pristupom sadržavati i SID grupe Everyone, što mu može omogućiti visoku razinu korisničkih prava. Postavljena vrijednost 1 omogućit će članstvo u grupi Everyone, dok će postavljena vrijednost 0 korisniku s anonimnim pristupom uskratiti prava dozvoljena grupi Everyone. Postavljanjem ove dvije vrijednosti na 1 odnosno 0 respektivno uvodimo višu razinu sigurnosti, no treba biti vrlo oprezan pri provođenju zbog mogućih problema u funkcionalnosti različitih servisa.

Razotkrivanje administratorske korisničke oznake bez anonimnog pristupa

Recimo i da informaciju o SID-u ugrađenog administratorskog računa napadač može dobiti i bez anonimnog pristupa ? ako djeluje iznutra i posjeduje korisnički račun na domeni. Whoami.exe, alat koji dolazi kao dio različitih Microsoftovih operativnih sustava, otkrit će sljedeće informacije svakom logiranom korisniku sustava:

[User] = "Moja_domena\korisnik" S-1-5-21-642857134-390335484-612484462-1096

[Group 1] = "Moja_domena\Domain Users" S-1-5-21-642857134-390335484-612484462-513

[Group 2] = "Everyone" S-1-1-0

[Group 3] = "BUILTIN\Users" S-1-5-32-545

[Group 4] = "Moja_domena\Moja grupa" S-1-5-21-642857134-390335484-612484462-1642

[Group 5] = "LOCAL" S-1-2-0

[Group 6] = "NT AUTHORITY\INTERACTIVE" S-1-5-4

[Group 7] = "NT AUTHORITY\Authenticated Users" S-1-5-11

(X) SeChangeNotifyPrivilege = Bypass traverse checking

(O) SeSecurityPrivilege = Manage auditing and security log

(O) SeBackupPrivilege = Back up files and directories

(O) SeRestorePrivilege = Restore files and directories

(X) SeSystemtimePrivilege = Change the system time

(O) SeShutdownPrivilege = Shut down the system

...

Ovaj feature Windows operativnih sustava pruža zanimljive informacije o korisniku: članstvo u različitim grupama i prava. Uočimo, međutim, da whoami.exe logiranom korisniku razotkriva i informaciju o SID-u vlastitog korisničkog računa. Tu informaciju, već smo vidjeli, napadač može iskoristiti da bi sastavio SID ugrađenog administratorskog korisničkog računa i zatim uz pomoć određenih alata razotkrio njegovu korisničku oznaku. Tako čak i najmaštovitije tajno korisničko ime koje ste pridijelili administratorskom korisničkom računu vrlo lako može postati razotkriveno. Microsoft još nije ponudio rješenje za ovaj problem, a administratorima sustava preostaje samo da budno paze kome će dozvoliti pristup mreži.

Reference

O ovoj temi saznajte više na sljedećim Internet adresama:

http://www.microsoft.com/technet/default.mspx

http://support.microsoft.com/support/kb/articles/Q246/2/61.ASP&NoWebContent=1

http://support.microsoft.com/?id=278259

http://www.pcmag.com/article2/0,4149,671319,00.asp

Oslobađanje od odgovornosti

Postupci opisani u ovom članku, osobito dijelu koju govori o uređivanju Registrya, mogu dovesti do neželjenih posljedica. Zbog toga se prije provođenja preporuča opsežno testiranje u ne-produkcijskom okruženju, dodatna pažnja pri provođenju tih postupaka, te dodatno informiranje o mogućim posljedicama kao i načinima na koji ih se može ublažiti. Autor članka ne može snositi odgovornost za eventualne posljedice koje provođenjem mogu nastupiti.