Компания Positive Technologies выпустила утилиту для проверки наличия потенциально опасных записей в серверах имен DNS и WINS.
Регистрация в локальной сети имени, зарезервированного за специальной службой, может позволить злоумышленнику перехватывать трафик от других пользователей данной сети и организовать атаку типа «человек-посередине». В случае успешной атаки злоумышленник получает возможность анализировать весь Интернет-трафик жертвы, который может содержать конфиденциальные данные, например, пароли на доступ к ресурсам, номера кредитных карт, личную переписку и т.д.
Существует несколько способов регистрации имени в сети:
1) Регистрация на сервере имен DNS или WINS;
2) Выход в сеть с определенным NetBIOS-именем.
В данном обзоре рассматриваются имена WPAD и ISATAP. Эти имена используются в одноименных протоколах:
В марте 2009 года Microsoft выпустила обновление для DNS- и WINS-серверов, позволяющее предотвратить ряд атак с использованием специализированных имен, однако как показано в статье установка исправлений не устраняет всех проблем с безопасностью в сети.
1. Уязвимость регистрации потенциально опасных записей в DNS-сервере
Уязвимость, которая позволяет проводить атаки типа "человек посередине", существует в DNS-серверах, когда используется динамическое обновление, и ISATAP и WPAD не зарегистрированы в DNS. Данная уязвимость позволяет атакующему, действующему удаленно, подменить web-прокси, что приведет к тому, что Интернет-трафик будет перенаправлен на адрес, выбранный злоумышленником.
Уязвимые системы |
Microsoft Windows 2000, Microsoft Windows Server 2003, Microsoft Windows Server 2008 |
Уязвимый компонент |
DNS-сервер |
Максимальное воздействие |
Атака «человек-посередине» |
Наличие эксплоита в публичном доступе |
нет |
Идентификатор CVE |
CVE-2009-0093 |
Вектор эксплуатации |
Локальная сеть |
Рейтинг опасности SecurityLab |
Средний |
2. Уязвимость регистрации потенциально опасных записей в WINS-сервере
Уязвимость, которая позволяет проводить атаки типа "человек посередине", существует в WINS-серверах. Данная уязвимость позволяет атакующему, действующему удаленно, подменить web-прокси, что приведет к тому, что Интернет-трафик будет перенаправлен на адрес, выбранный злоумышленником.
На WINS-сервере могут быть зарегистрированы потенциально опасные записи.
Уязвимые системы |
Microsoft Windows 2000, Microsoft Windows Server 2003 |
Уязвимый компонент |
WINS-сервер |
Максимальное воздействие |
Атака «человек-посередине» |
Наличие эксплоита в публичном доступе |
нет |
Идентификатор CVE |
CVE-2009-0094 |
Вектор эксплуатации |
Локальная сеть |
Рейтинг опасности SecurityLab |
Средний |
Компания Positive Technologies выпустила утилиту для выявления потенциально опасных записей в базе DNS- и WINS-служб. Утилита также позволяет сканировать доступную локальную сеть на предмет существования хостов с вышеуказанными NetBIOS-именами.
Периодическое использование утилиты позволит системным администраторам, а также администраторам по безопасности контролировать использование потенциально опасных записей в серверах имен и присутствие в сети узлов с опасными NetBIOS-именами.
При обнаружении потенциально опасных записей проверьте, каким сетевым узлам принадлежат данные имена, или установите обновление MS09-008.
При выявлении данной уязвимости зарегистрируйте статические записи для потенциально опасных имен или установите обновление MS09-008.
Для корректной работы данных проверок требуется ввести имя анализируемой DNS-зоны.
Рекомендуется разрешать динамические обновления только от аутентифицированных узлов. Если динамические обновления зоны в сети не используются, то отключите их.
При обнаружении потенциально опасных записей проверьте, каким сетевым узлам принадлежат данные имена, или установите обновление MS09-008.
При выявлении данной уязвимости зарегистрируйте статические записи для потенциально опасных имен или установите обновление MS09-008.
Утилита получает IP-адреса всех адаптеров, установленных на данном хосте, затем рассылает широковещательный NetBIOS-запрос c целью получить IP-адреса компьютеров, имеющих потенциально опасные NetBIOS-имена. Потенциально опасными NetBIOS- именами считаются WPAD, WPAD. и ISATAP.
При обнаружении потенциально опасного имени в сети необходимо проанализировать владельца данного узла и, при необходимости, принять меры.
Примечания:
5778 К? Пф! У нас градус знаний зашкаливает!