Сетевая утилита для проверки наличия потенциально опасных записей в серверах имен DNS и WINS
Компания Positive Technologies выпустила утилиту для проверки наличия потенциально опасных записей в серверах имен DNS и WINS.
Введение
Регистрация в локальной сети имени, зарезервированного за специальной службой, может позволить злоумышленнику перехватывать трафик от других пользователей данной сети и организовать атаку типа «человек-посередине». В случае успешной атаки злоумышленник получает возможность анализировать весь Интернет-трафик жертвы, который может содержать конфиденциальные данные, например, пароли на доступ к ресурсам, номера кредитных карт, личную переписку и т.д.
Существует несколько способов регистрации имени в сети:
1) Регистрация на сервере имен DNS или WINS;
2) Выход в сеть с определенным NetBIOS-именем.
В данном обзоре рассматриваются имена WPAD и ISATAP. Эти имена используются в одноименных протоколах:
- WPAD (Web Proxy Auto Discovery) – протокол, позволяющий Web-клиентам автоматически определять местоположение файла настроек браузера для работы через прокси-сервер. Опасность данного протокола обусловлена его использованием в большом числе конфигураций «по умолчанию». Атакам с использованием протокола WPAD посвящена отдельная статья ;
- ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) - протокол туннелирования пакетов IPv6 в пакетах IPv4, используемый для связи сегментов сети IPv6 через сегмент IPv4.
Уязвимости
В марте 2009 года Microsoft выпустила обновление для DNS- и WINS-серверов, позволяющее предотвратить ряд атак с использованием специализированных имен, однако как показано в статье установка исправлений не устраняет всех проблем с безопасностью в сети.
1. уязвимость регистрации потенциально опасных записей в DNS-сервере
Уязвимость, которая позволяет проводить атаки типа "человек посередине", существует в DNS-серверах, когда используется динамическое обновление, и ISATAP и WPAD не зарегистрированы в DNS. Данная уязвимость позволяет атакующему, действующему удаленно, подменить web-прокси, что приведет к тому, что Интернет-трафик будет перенаправлен на адрес, выбранный злоумышленником.
Уязвимые системы |
Microsoft Windows 2000, Microsoft Windows Server 2003, Microsoft Windows Server 2008 |
Уязвимый компонент |
DNS-сервер |
Максимальное воздействие |
Атака «человек-посередине» |
Наличие эксплоита в публичном доступе |
нет |
Идентификатор CVE |
CVE-2009-0093 |
Вектор эксплуатации |
Локальная сеть |
Рейтинг опасности SecurityLab |
Средний |
2. Уязвимость регистрации потенциально опасных записей в WINS-сервере
Уязвимость, которая позволяет проводить атаки типа "человек посередине", существует в WINS-серверах. Данная уязвимость позволяет атакующему, действующему удаленно, подменить web-прокси, что приведет к тому, что Интернет-трафик будет перенаправлен на адрес, выбранный злоумышленником.
На WINS-сервере могут быть зарегистрированы потенциально опасные записи.
Уязвимые системы |
Microsoft Windows 2000, Microsoft Windows Server 2003 |
Уязвимый компонент |
WINS-сервер |
Максимальное воздействие |
Атака «человек-посередине» |
Наличие эксплоита в публичном доступе |
нет |
Идентификатор CVE |
CVE-2009-0094 |
Вектор эксплуатации |
Локальная сеть |
Рейтинг опасности SecurityLab |
Средний |
Утилита
Компания Positive Technologies выпустила утилиту для выявления потенциально опасных записей в базе DNS- и WINS-служб. Утилита также позволяет сканировать доступную локальную сеть на предмет существования хостов с вышеуказанными NetBIOS-именами.
Периодическое использование утилиты позволит системным администраторам, а также администраторам по безопасности контролировать использование потенциально опасных записей в серверах имен и присутствие в сети узлов с опасными NetBIOS-именами.
Состав проверок и рекомендации по устранению уязвимостей
Проверки WINS-сервера
- Проверка наличия на WINS-сервере потенциально опасных записей (WPAD; WPAD.; ISATAP).
При обнаружении потенциально опасных записей проверьте, каким сетевым узлам принадлежат данные имена, или установите обновление MS09-008.
- Проверка возможности регистрации на WINS-сервере потенциально опасных записей (WPAD; WPAD.; ISATAP). В данном случае проверяется не столько возможность регистрации, сколько регистрация и возможность последующего разрешения (resolving) имени.
При выявлении данной уязвимости зарегистрируйте статические записи для потенциально опасных имен или установите обновление MS09-008.
Проверки DNS-сервера
Для корректной работы данных проверок требуется ввести имя анализируемой DNS-зоны.
- Проверка возможности динамического обновления DNS-зоны
Рекомендуется разрешать динамические обновления только от аутентифицированных узлов. Если динамические обновления зоны в сети не используются, то отключите их.
- Проверка наличия в данной DNS-зоне потенциально опасных записей (wpad, isatap).
При обнаружении потенциально опасных записей проверьте, каким сетевым узлам принадлежат данные имена, или установите обновление MS09-008.
- Проверка возможности регистрации в данной DNS-зоне потенциально опасных записей (wpad, isatap). Как и в случае с WINS, проверяется возможность успешного разрешения (resolving) имени после регистрации.
При выявлении данной уязвимости зарегистрируйте статические записи для потенциально опасных имен или установите обновление MS09-008.
Проверка доступной подсети
Утилита получает IP-адреса всех адаптеров, установленных на данном хосте, затем рассылает широковещательный NetBIOS-запрос c целью получить IP-адреса компьютеров, имеющих потенциально опасные NetBIOS-имена. Потенциально опасными NetBIOS- именами считаются WPAD, WPAD. и ISATAP.
При обнаружении потенциально опасного имени в сети необходимо проанализировать владельца данного узла и, при необходимости, принять меры.
Примечания:
- Распознавание DNS- и WINS-сервисов в утилите не задействовано, поэтому сканирование узлов, не содержащих этих служб, практической ценности не имеет.
- Для работы утилиты требуется .NET Framework.
Ссылки
- Статья Сергея Рублева, посвященная слабым сторонам технологии WPAD:
http://www.securitylab.ru/analytics/379619.php - Множественные уязвимости в DNS и WINS в Microsoft Windows:
http://www.securitylab.ru/vulnerability/369851.php - Уязвимость регистрации WPAD (Microsoft Security Bulletin)
http://www.microsoft.com/technet/security/Bulletin/MS09-008.mspx - Описание WPAD на Википедии
http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol - Динамические обновления DNS-зон в Windows 2003 Server
http://support.microsoft.com/kb/816592 - Порядок разрешения имен
http://ru.tech-faq.com/understanding-netbios-name-resolution.shtml - Изменения в работе WINS-сервера после установки обновления
http://support.microsoft.com/kb/968731 - Описание ISATAP на википедии
http://en.wikipedia.org/wiki/ISATAP - Обеспечение безопасности DNS для Windows
http://www.oszone.net/5692/DNS_Windows
Большой брат следит за вами, но мы знаем, как остановить его