Уязвимости операционной системы Windows 8 от штатной работы служб

 

Remote Desktop Configuration.

Служба настройки сервера  удаленных рабочих столов (RDCS) отвечает за все действия, связанные с настройкой и обслуживанием сеансов служб  удаленных рабочих столов и удаленного доступа, для которых необходим контекст SYSTEM. Это касается временных папок сеансов, тем и сертификатов удаленных рабочих столов.

 

Remote Desktop Services.

Разрешает пользователям  интерактивное подключение к  удаленному компьютеру. Удаленный рабочий  стол и сервер, обслуживающий сеансы подключения к удаленному рабочему столу, зависят от данной службы. Чтобы запретить удаленное использование данного компьютера, необходимо открыть панель управления, дважды щелкнуть компонент "Свойства системы" и затем на вкладке "Удаленный доступ" снять соответствующие флажки.

 

Remote Desktop Services UserMode Port Redirector.

Позволяет перенаправление  Принтеров/Дисков/Портов для соединений RDP

 

Remote Procedure Call (RPC).

Служба RPCSS - Диспетчер  управления службами для COM и серверов DCOM. Она выполняет запросы активизаций объектов, объектные разрешения средства экспорта и распределенную сборку "мусора" для COM и серверов DCOM. Если эта служба будет остановлена или отключена, то программы, используя COM или DCOM не будут функционировать должным образом. Строго рекомендуется, чтобы служба RPCSS была запущена.

 

Remote Procedure Call (RPC) Locator.

В Windows 2003 и более ранних версиях Windows, служба Remote Procedure Call (RPC) Locator управляет базой данных службы имен RPC. В Windows Vista и более поздних версиях Windows, эта служба не обеспечивает функциональности и присутствует для совместимости приложения.

 

Remote Registry.

Позволяет удаленным  пользователям изменить настройки  реестра на этом компьютере. Если эта  служба остановлена, реестр может быть изменен только пользователями на этом компьютере. Если эта служба будет отключена, то любые службы, которые явно зависят от нее, не запустятся.

 

Routing and Remote Access.

Предлагает услуги маршрутизации  организациям в локальной и глобальной сетях. 

 

RPC Endpoint Mapper.

Обеспечивает разрешение идентификаторов интерфейсов RPC до конечных точек транспорта. Если эта  служба остановлена или отключена, программы, использующие службы удаленного вызова процедур (RPC), не смогут работать.

 

System Events Broker.

Выполнение координат  фоновой работы для приложения WinRT. Если эта служба остановлена или  отключена, то фоновая работа не могла  бы быть инициирована.

 

TCP/IP NetBIOS Helper.

Осуществляет поддержку NetBIOS через службу TCP/IP (NetBT) и разрешение имен NetBIOS для клиентов в сети, позволяя пользователям получать общий доступ к файлам, принтерам, а также подключаться к сети. Если данная служба остановлена, эти функции могут быть недоступны. Если данная служба отключена, все явно зависящие от нее службы запустить не удастся.

 

WebClient.

Позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете. Если эта служба остановлена, эти функции  не доступны. Если эта служба отключена, любые службы, которые явно зависят  от нее, не могут быть запущены.

 

Windows Remote Management (WS-Management).

Служба удаленного управления Windows (WinRM) применяет протокол WS-Management для удаленного управления. WS-Management - стандартный протокол веб-служб  для удаленного управления программным обеспечением и оборудованием. Служба WinRM прослушивает сеть на наличие запросов WS-Management и обрабатывает их. Для принятия сетевых запросов необходимо настроить службу WinRM с помощью средства командной строки "winrm.cmd" или через групповую политику. Служба WinRM предоставляет доступ к данным WMI и включает поддержку сбора событий. Работа службы необходима для сбора событий и подписки на события. Для передачи сообщений WinRM используются протоколы HTTP и HTTPS. Служба WinRM не зависит от служб IIS, однако по умолчанию использует тот же порт, что и IIS.  Служба WinRM резервирует префикс URL-адреса /wsman. Для предотвращения конфликтов со службами IIS размещенные на IIS веб-сайты не должны использовать префикс URL-адреса /wsman.

 

Windows Update. 

Включает обнаружение, загрузку и установку обновлений для Windows и других программ. Если данная служба отключена, то на этом компьютере нельзя будет использовать службу Центра обновления Windows либо возможности автоматического обновления, и программы не смогут использовать интерфейса API Windows Update Agent (WUA).

 

WinHTTP Web Proxy Auto-Discovery Service .

WinHTTP реализует клиентский  стек HTTP и предоставляет разработчикам  компоненты Win32 API и COM Automation для того, чтобы отправлять запросы HTTP и  получить ответы. Кроме того, WinHTTP предоставляет поддержку для того, чтобы автообнаружить конфигурацию прокси через ее реализацию протокола Web Proxy Auto-Discovery (WPAD).

 

WWAN AutoConfig.

Эта служба управляет  мобильными широкополосными (GSM и CDMA) карточками данных и встроенными модульными адаптерами, а также подключениями и автоматической настройкой сетей. Настоятельно рекомендуется не отключать и не останавливать эту службу для обеспечения наилучшей работы мобильных широкополосных устройств.

 

Итого тридцать сервисов.

Далее рассмотрим наиболее опасные уязвимости данной группы сервисов. Приведем имя сервиса и его  уязимость.

 

Имя: Remote Access Connection Manager

Уязвимость: возможность удаленного выполнения кода в Remote Access Connection Manager, которая может позволить атакующему, успешно воспользовавшемуся данной уязвимостью, получить полный контроль над уязвимой системой.

 

Имя: Remote Desktop Configuration

Уязвимость: делает возможным удаленное выполнение кода, если пользователь откроет подлинный файл конфигурации удаленного рабочего стола (.rdp), расположенный в том же сетевом каталоге, что и особым образом созданный файл библиотеки. Чтобы атака была успешной, пользователь должен посетить недоверенную папку в удаленной файловой системе или общий ресурс WebDAV и открыть находящийся в этой папке документ, который затем загружается уязвимым приложением.

 

Имя: Remote Desktop Services

Уязвимость: позволяет удаленный запуск кода на уязвимых компьютерах. удаленного выполнения кода означает, что хакер может создать программу, которая будет удаленно воспользоваться этой уязвимостью, и позволит ему выполнять программы на компьютере без пользовательского разрешения или ведома.

 

Имя: Remote Procedure Call

Уязвимость: переполнение буфера в подсистеме удаленного вызова процедур (RPCSS) позволяет локальному пользователю получить привилегии с помощью созданного LPC сообщения, что просит LRPC связи с LPC сервера к клиенту.

 

Имя: Remote Registry

Уязвимость: переполнение буфера в подсистеме удаленногодоступа к реестру позволяет локальному пользователю выполнить на стороне клиента произвольный код.

 

Имя: Routing and Remote Access

Уязвимость: делает возможным несанкционированное получение прав, если злоумышленник входит в уязвимую систему и запускает специально созданное приложение. Злоумышленник должен иметь действительные учетные данные и иметь возможность локального входа в систему для использования этой уязвимости. Уязвимость не может быть использована удаленно или анонимными пользователями.

 

Имя: Remote Desktop Services UserMode Port Redirector

Уязвимость: не правильно обрабатывает пакеты в памяти и позволяет удаленному атакующему выполнить произвольный код, отправив сформированные пакеты RDP запуска для доступа к объекту.

 

Имя: BranchCache

Уязвимость: позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за того, что приложение загружает BranchCache DLL библиотеку небезопасным образом. Атакующий может обманным образом заставить пользователя открыть специально составленный .eml и .rss (Windows Live Mail) или .wpost (Microsoft Live Writer) файл находящийся на удаленном WebDAV или SMB ресурсе, что приведет к выполнению произвольного кода.

2. Сервисы, связанные с реализацией разграничения доступа и политикой управления правами и привилегиями

 

Разграничение доступа  к файлам и папкам возможно с помощью  Проводника Windows (вкладки Безопасность функций Свойства контекстного меню выделенного объекта), принтеру –  с помощью функции Принтеры и  факсы Панели управления (вкладки  Безопасность функции Свойства выделенного принтера), реестру Windows – с помощью Редактора реестра regedit.exe (функции Разрешения контекстного меню выделенного раздела).

Права доступа к объектам в операционной системе Windows делятся  на специальные, стандартные (общие) и родовые (generic). Специальные права зависят от типа объекта разграничения доступа. Например, к файлам и папкам могут применяться следующие специальные права:

- обзор папок (выполнение  файлов);

- содержание папки  (чтение данных из файла);

- чтение атрибутов;

- чтение дополнительных  атрибутов;

- создание файлов (запись  данных в файл);

- создание папок (дозапись  данных в файл);

- запись атрибутов;

- запись дополнительных  атрибутов;

- удаление подпапок  и файлов (только для папок).

Стандартные права доступа к объектам операционной системы Windows не зависят от типа объекта. Определены следующие стандартные права доступа;

- удаление;

- чтение разрешений;

- смена разрешений (для  реестра это право названо  Запись DAC);

- смена владельца;

- синхронизация (для реестра это право названо Уведомление).

Каждое из родовых  разрешений представляет собой логическую группу специальных и стандартных  разрешений. Например, для файлов и  папок родовое право доступа  «Изменение» включает все разрешения кроме «Удаление подпапок и файлов», «Смена разрешений» и «Смена владельца».

Существующий в Windows механизм наследования облегчает администраторам  задачи назначения разрешений и управления ими. Благодаря этому механизму  разрешения, установленные для контейнера, автоматически распространяются на все объекты этого контейнера. Например, файлы, создаваемые в папке, наследуют разрешения этой папки.

Далее приведены сервисы, так или иначе отвечающие за разграничения  доступа и групповые политики.

 

ActiveX Installer (AxInstSV).

Обеспечивает проверку контроля учетных записей для установки элементов ActiveX из Интернета и разрешает управление установкой элементов ActiveX в зависимости от параметров групповой политики. Эта служба запускается по требованию и, если она отключена, установка элементов ActiveX будет выполняться в соответствии с настройками браузера по умолчанию.

 

Application Information.

Упрощает выполнение интерактивных приложений с дополнительными  административными привилегиями. Если эта служба будет остановленными пользователями, то будет неспособно запустить приложения с дополнительными административными привилегиями, которых они могут потребовать, чтобы выполнить требуемые пользовательские задачи.

 

Application Layer Gateway Service.

Оказывает поддержку  протоколов третьей стороны протоколов PnP для общего доступа к подключению к Интернету и подключений к Интернету с использованием брандмауэра. Эта служба нужна при использовании Брандмауэра Интернета / Общего доступа к Интернету для подключения к сети. Служба занимает около 1.5 Mb в оперативной памяти.

 

Application Management.

Обработка запросов на установку, удаление и построение списков для  программ, установленных через групповую  политику. Если служба будет отключена, то пользователи будут неспособны установить, удалить, или перечислить программное обеспечение, развернутое через Групповую политику. Если эта служба будет отключена, то любые службы, которые явно зависят от нее, не запустятся.

 

Base Filtering Engine.

Служба базовой фильтрации (BFE) представляет собой службу, которая управляет политиками брандмауэра и политиками IP-безопасности (IPsec), применяя фильтрацию пользовательских режимов. Остановка или отключение службы BFE значительно снижает уровень безопасности системы. Это также приводит к непредсказуемым действиям при управлении IPsec и работе приложений межсетевого экрана.

 

Diagnostic Policy Service.

Служба политики диагностики  позволяет обнаруживать проблемы, устранять  неполадок и разрешать вопросы, связанные с работой компонентов Windows.  Если остановить данную службу, диагностика не будет работать.

 

Group Policy Client.

Данная служба ответственна за применение параметров, определенных администраторами для компьютеров  и пользователей через компонент  групповой политики. Если эта служба остановлена или отключена, параметры не будут применены. Так же не будет возможно управление приложениями и компонентами через групповую политику. Если эта служба остановлена или отключена, любые компоненты или приложения, зависящие от компонента групповой политики, могут не функционировать.

 

HomeGroup Listener.

Изменение параметров локального компьютера, связанных с конфигурацией  и обслуживанием подключенных к  домашней группе компьютеров. Если эта  служба остановлена или отключена, возможны ошибки в работе компьютера в домашней группе, а также в работе самой группы. Отключение этой службы не рекомендуется.

 

HomeGroup Provider.

Выполнение сетевых  задач, связанных с настройкой и  обслуживанием домашних групп. Если эта служба остановлена или отключена, возможны ошибки при обнаружении  других домашних групп, а также ошибки в работе собственной домашней группы. Отключение этой службы не рекомендуется.

 

Local Session Manager.

Базовая служба Windows, которая  управляет локальными сеансами пользователя. Остановка или отключение этой службы приведут к неустойчивости системы.

 

Microsoft Account Sign-in Assistant.

Включает пользовательский вход в систему через службы идентификационных  данных учетной записи Microsoft. Если эта  служба будет остановленными пользователями, то они будут не в состоянии  войти в систему с их учетной записью Microsoft.

 

Multimedia Class Scheduler.

Разрешает устанавливать  относительную приоритетность заданий  на основе системных приоритетов  задач. Это предназначено, в основном, для приложений мультимедиа.  Если эта служба остановлена, отдельным задачам возвращается их приоритет по умолчанию. 

 

Parental Controls.

Эта служба является заглушкой  для функциональных возможностей службы родительского контроля Windows, которая  существовала в ОС Vista. Она предоставляется  исключительно в целях обратной совместимости.