Уязвимости операционной системы Windows 8 от штатной работы служб

 

Problem Reports and Solutions Control Panel Support.

Эта служба обеспечивает просмотр, отправку и удаление отчетов о проблемах  системного уровня для элемента панели управления "Отчеты о проблемах  и их решениях".

 

Secondary Logon.

Позволяет запускать процессы от имени  другого пользователя. Если эта служба остановлена, этот тип регистрации  пользователя недоступен. Если эта  служба отключена, то нельзя запустить  другие службы, которые явно зависят  от нее.

 

Security Accounts Manager.

Запуск этой службы служит для других служб сигналом о том, что диспетчер учетных записей  безопасности (SAM) готов к приему запросов.  При отключении данной службы другие службы в системе не получат уведомления о готовности SAM, что в свою очередь может помешать корректному запуску этих служб. Не следует отключать эту службу.

 

Storage Service.

Применяет групповую  политику для устройств хранения данных.

 

Task Scheduler.

Позволяет настраивать  расписание автоматического выполнения задач на этом компьютере. Данная служба также отвечает за выполнение нескольких критически важных системных задач Windows. Если эта служба остановлена, эти задачи не могут быть запущены в установленное расписанием время. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

 

User Profile Service.

Эта служба отвечает за загрузку и выгрузку профилей пользователей. Если эта служба остановлена или  отключена, пользователи не могут успешно  входить в систему и выполнять  выход, в приложениях могут возникать ошибки при обращении к данным пользователей, а компоненты, зарегистрированные для получения уведомлений о событиях профилей, не получат их.

 

Virtual Disk.

Предоставление служб  управления дисками, томами, файловыми  системами и массивами запоминающих устройств.

 

Windows Biometric Service.

Биометрическая служба Windows предназначена для сбора, сравнения, обработки и хранения биометрических данных в клиентских приложениях  без получения непосредственного  доступа к биометрическим образцам или оборудованию. Эта служба размещается в привилегированном процессе SVCHOST.

 

Windows Driver Foundation - User-mode Driver Framework.

Управляет хост-процессами драйвера непривилегированного режима.

 

Windows Error Reporting Service.

Разрешает отправку отчетов  об ошибках в случае прекращения работы или зависания программы, а также разрешает доставку имеющихся решений проблем. Также разрешает создание журналов для служб диагностики и восстановления. Если эта служба остановлена, то могут не работать отчеты об ошибках и не отображаться результаты служб диагностики и восстановления.

 

Windows Firewall.

Брандмауэр Windows помогает предотвратить несанкционированный  доступ к вашему компьютеру через  Интернет или сеть.

 

Windows Management Instrumentation.

Предоставляет общий  интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами. После остановки данной службы многие Windows-приложения могут работать некорректно. При отключении данной службы зависимые от нее службы не смогут быть запущены.

 

Windows Modules Installer.

Позволяет выполнять  установку, изменение и удаление обновлений Windows и дополнительных компонентов. Если эта служба отключена, установка  или удаление обновлений Windows могут  не работать на этом компьютере.

 

Итого 26 служб. Рассмотрим поподробнее самые распространенные и опасные уязвимости этой группы служб. Все они так или иначе  связаны с повышениями привилегий или запуском из под другого пользователя.

 

Имя: Secondary Logon

Уязвимость: Пользователь может повысить свои привилегии. Если доступ к программе запрещен через групповую политику, можно просто скопировать его в любое место, куда разрешена запись, и сделать Run As от своего имени - он запустится. Дело в том, что при копировании права на файл меняются - ведь копирующий получает права создателя/владельца.

 

Имя: User Account Control

Уязвимость: позволяет локальному злоумышленнику выполнить вредоносные действия с повышенными привилегиями на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в User Account Control (UAC) Consent UI компоненте при обработке значений реестра. Атакующий может передать специально сформированные данные, что позволит получить ему привилегии "LocalSystem".

Уязвимость: позволяет локальному злоумышленнику выполнить вредоносные действия с повышенными привилегиями на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в функциональности User Access Control (UAC) в функции 'RtlQueryRegistryValues()'. Атакующий может передать специально сформированные данные, что приведет к выполнению произвольного кода с повышенными привилегиями.

 

Имя: Active Directory

Уязвимость: позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в Local Security Authority Subsystem Service (LSASS) в реализациях Active Directory, Active Directory Application Mode (ADAM), и Active Directory Lightweight Directory Service (AD LDS). Атакующий может передать специально сформированное LDAP сообщение затронутому LSASS серверу, что приведет к выполнению произвольного кода.

 

Имя: Task Scheduler

Уязвимость: Планировщик заданий Windows может не правильно определить контекст безопасности запланированных задач, что позволит локальному пользователю получить привилегии через созданное приложение.

 

Из выше перечисленного становится ясно, что основные уязвимости служб данного раздела основаны на том, что политики безопасности применяются на компьютере локально и могут иметь различия даже в пределах одной учетной записи.

3. Сервисы, связанные с резервированием и восстановлением системы

 

Резервное копирование (англ. backup) —  процесс создания копии данных на носителе (жёстком диске, дискете  и т. д.), предназначенном для восстановления данных в оригинальном или новом  месте их расположения в случае их повреждения или разрушения.

 

Рассмотрим поподробнее сервисы данного типа.

 

Block Level Backup Engine Service .

Служба WBENGINE используется Резервным  копированием Windows, чтобы выполнить  операции восстановления и резервное  копирование. Отключение этой службы может  отключить резервное копирование и операции восстановления, используя Резервное копирование Windows на этом компьютере.

 

BranchCache.

Эта служба кэширует сетевое содержимое, полученное от кэширующих узлов локальной  подсети.

 

Credential Manager.

Обеспечивает защищенное хранение и извлечение учетных данных пользователей, приложений и служебных пакетов.

 

Microsoft Software Shadow Copy Provider .

Управляет программным созданием  теневых копий службой теневого копирования тома. Если эта служба остановлена, то управление программным  созданием теневых копий невозможно. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

 

Network Location Awareness .

Собирает и хранит конфигурационную информацию для сети и уведомляет программы, когда эта информация изменена. Если эта служба остановлена, конфигурационная информация могла бы быть недоступной. Если эта служба будет отключена, то любые службы, которые явно зависят от нее, не запустятся.

 

Software Protection.

Разрешает загрузку, установку  и принудительное применение цифровых лицензий для Windows и приложений Windows. Если служба отключена, возможно, операционная система и лицензированные приложения будут работать в режиме уведомления. Настоятельно рекомендуется не отключать службу защиты программного обеспечения.

 

Volume Shadow Copy.

Управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для  архивации и восстановления или  для иных целей. Если эта служба остановлена, теневые копии томов для восстановления не будут доступны и архивация и восстановление могут не работать. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

 

Windows Backup Provides.

Windows Backup and Restore capabilities.

 

Windows Biometric Service.

Биометрическая служба Windows предназначена для сбора, сравнения, обработки и хранения биометрических данных в клиентских приложениях  без получения непосредственного  доступа к биометрическим образцам или оборудованию. Эта служба размещается в привилегированном процессе SVCHOST.

 

Итого 9 служб. Рассмотрим наиболее часто встречающиеся уязвимости.

 

Имя: Volume Shadow Copy

Уязвимость: при определенных условиях злоумышленник может, получив этот файл, расшифровать его и получить все находящиеся в нем пароли.

 

Имя: Windows Backup

Уязвимость: Уязвимость существует из-за того, что Microsoft Windows Backup (sdclt.exe) загружает небезопасным образом библиотеки (например, fveapi.dll). Удаленный пользователь может с помощью специально сформированного WBCAT файла, расположенного на удаленном WebDAV или SMB ресурсе, загрузить и выполнить произвольные библиотеки на системе.

 

Из вышеперечисленного видно, что для этого типа служб, уязвимые места заключаются в низком уровне шифрования и потоконебезопасной работе с данными.

4. Итог по сервисам

 

При выполнении данной работы, я насчитал 161 службу в операционной системе Windows 8. Я рассмотрел здесь лишь наиболее важные и основные из них. Но всего служб, так или иначе зависящих от этих, намного больше.  Некоторые службы тяжело отнести к какому-то одному подвиду: для удаленного доступа, для реализации разграничения прав или для резервного копирования и восстановления, так как зачастую они реализуют несколько функционалов. При предварительном подсчете, таких служб набралось в районе 60-80.  Это порядка 40-50%. То есть, минимум 40% служб так или иначе несут угрозу для сохранности информации пользователя. Что смотрится очень подозрительно на фоне сообщения от Microsoft о том, что новая ОС очень хорошо защищена.

Некоторым уязвимостям, рассмотренным тут, уже несколько  лет. Microsoft знает о них, но не торопится исправлять, что поневоле наводит на мысль о том, что им выгодно такое положение дел.

 

3. Практический подход к выявлению уязвимостей

 

Для того, чтобы на практике проверить некоторые из уязвимостей, я просканировал ОС сканером портов, и подвергнул систему dos атаке.

1. Проверка Windows 8 сканером портов

 

Получить несанкционированный  доступ удаленно возможно воспользовавшись одним из портов.

По этой причине я просканировал  Windows 8 внутренней утилитой netstat и внешней Zenmap.

При сканировании внутренней утилитой не было никаких результатов (Рис.3). Она показала, что все порты закрыты или возможно находятся в режиме фильтрации. Некоторые служебные порты она показала только при запуске ее с параметром “-a” (Рис.4).

 

Рис.3 Сканирование netstat.

Рис.4 Применение netstat  с параметром –a

 

При проверке Zenmap были получены результаты по нескольким открытым портам при применении ключа –sT (Рис.5). Это используемый по умолчанию тип TCP сканирования, когда недоступно SYN сканирование. Это происходит в случае, когда у пользователя нет привилегий для использования сырых пакетов или при сканировании IPv6 сетей. Вместо того, чтобы использовать сырые пакеты, как это происходит при большинстве других типов сканирования, Zenmap "просит" операционную систему установить соединение с целевой машиной по указанному порту путем системного вызова connect. Это такой же высокоуровневый системный вызов, используемый браузерами, P2P клиентами и другими приложениями для установки соединения. Этот вызов является частью программируемого интерфейса, известного как Berkeley Sockets API. Вместо того, чтобы считывать ответы в форме сырых пакетов, Nmap использует этот API для получения информации о статусе каждой попытки соединения.

Как видно из рисунка  были получен доступ к 135, 445, 554, 2869, 10243, 49152, 49153, 49154, 49155, 49156

Рис. 5 Окно Zenmap с результатами сканирования

 

Пояснение по портам:

•  135 - это уязвимость в RPC DCOM;
•  445 - Microsoft-DS совместный доступ к файлам SMB;
•  554 - Протокол потоковой передачи в режиме реального времени (RTSP);
•  Остальные определяются приложениями.

 

Итог по сканированию портов: порты таких служб как Telnet и Remote Desctop конечно закрыты, но осталось несколько открытых портов, причем из тех, на которые и приходится большая часть внешних атак.

 

3.2. DOS атака против Windows 8

 

Microsoft писала, что эта  уязвимость может быть исправлена  в Windows 8.  Но уязвимость осталась на месте. Устойчивые атаки держат процессор под высокой нагрузкой, заполняет диск C:, и вырубает подключения к Интернету.

Детали уязвимости (CVE 2010-4669):

Реализация протокола Neighbour Discovery в стеке IPv6 в Microsoft Windows XP, Server 2003, Vista, Server 2008, Windows 7 и Windows 8 позволяет удаленному злоумышленнику вызвать отказ в обслуживании (возрастает потребление процессора и система зависает), отправив множество Router Advertisement (RA) сообщений с разных адресов источника.

Атака производилась с помощью flood_router6 в BackTrack 5.

 

4. Способы повысить безопасность в Windows 8

 

Исходя из предыдущих пунктов, можно повысить безопасность данной ОС, выполнив несколько действий:

• Отключить и если возможно удалить ненужные сервисы из системы;
• Закрыть те из портов, что не используются вами при работе за компьютером:

1. Login-сервисы ~ telnet (23/tcp), SSII (22/tcp), FTP (21/tcp), NetBIOS (139/lcp), rlogin и т.д. (512-514/tcp)
2. RPC и NFS- Portmap/rpcbind (111/tcp и udp), NFS (2049/tcp и udp), lockd (4045/tcp и udp)
3. NetBIOS в Windows NT-135 (tcp и udp), 137-139 (udp) Windows 2000 - предшествующие порты + 445 (tcp и udp)
4. X Windows ~ 6000-6255/tcp
5. Naming services— DNS (53/udp) для всех компьютеров, которые не являются DNS-серверами, DNS zone transfers (53/tcp) кроме внешних secondaries, LDAP (389/tcp и udp)
6. Mail— SMTP (25/tcp) для всех компьютеров, которые не являются внешними mail relays, POP (109 и 110/tcp), IMAP (143/tcp)
7. Web- HTTP (80/tcp) и SSL (443/tcp) кроме внешних Web-серверов, можно закрыть и НТТР-порты 8000, 8080, 8888/tcp, и т.п.
8. "Small Services"— порты ниже 20/tcp и udp, time (37/tcp и udp)
9. TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/udp), LPD (515/tcp), syslog(514/udp), SNMP (161/tcp и udp, 162/tcp и udp), BGP (179/tcp), SOCKS (1080/tcp)
10. ICMP-- блокировать входящие echo-запросы (ping и Windows traceroute), исходящие echo-ответы, сообщения time exceeded и destination unreachable, кроме "packet too big".
11. Блокировать адреса, типичные для спуффинга. Блокировать пакеты с набором копий для IP.