Сетевая утилита для проверки наличия потенциально опасных записей в серверах имен DNS и WINS

Теги: Positive Technologies, уязвимость, DNS, WPAD, новость

Компания Positive Technologies выпустила утилиту для проверки наличия потенциально опасных записей в серверах имен DNS и WINS.

Скачать утилиту

Введение

Регистрация в локальной сети имени, зарезервированного за специальной службой, может позволить злоумышленнику перехватывать трафик от других пользователей данной сети и организовать атаку типа «человек-посередине». В случае успешной атаки злоумышленник получает возможность анализировать весь Интернет-трафик жертвы, который может содержать конфиденциальные данные, например, пароли на доступ к ресурсам, номера кредитных карт, личную переписку и т.д.
Существует несколько способов регистрации имени в сети:
1) Регистрация на сервере имен DNS или WINS;
2) Выход в сеть с определенным NetBIOS-именем.

В данном обзоре рассматриваются имена WPAD и ISATAP. Эти имена используются в одноименных протоколах:

  • WPAD (Web Proxy Auto Discovery) – протокол, позволяющий Web-клиентам автоматически определять местоположение файла настроек браузера для работы через прокси-сервер. Опасность данного протокола обусловлена его использованием в большом числе конфигураций «по умолчанию». Атакам с использованием протокола WPAD посвящена отдельная статья;
  • ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) - протокол туннелирования пакетов IPv6 в пакетах IPv4, используемый для связи сегментов сети IPv6 через сегмент IPv4.

Уязвимости

В марте 2009 года Microsoft выпустила обновление для DNS- и WINS-серверов, позволяющее предотвратить ряд атак с использованием специализированных имен, однако как показано в статье установка исправлений не устраняет всех проблем с безопасностью в сети.

1. Уязвимость регистрации потенциально опасных записей в DNS-сервере

Уязвимость, которая позволяет проводить атаки типа "человек посередине", существует в DNS-серверах, когда используется динамическое обновление, и ISATAP и WPAD не зарегистрированы в DNS. Данная уязвимость позволяет атакующему, действующему удаленно, подменить web-прокси, что приведет к тому, что Интернет-трафик будет перенаправлен на адрес, выбранный злоумышленником.

Уязвимые системы

Microsoft Windows 2000, Microsoft Windows Server 2003, Microsoft Windows Server 2008

Уязвимый компонент

DNS-сервер

Максимальное воздействие

Атака «человек-посередине»

Наличие эксплоита в публичном доступе

нет

Идентификатор CVE

CVE-2009-0093

Вектор эксплуатации

Локальная сеть

Рейтинг опасности SecurityLab

Средний

2. Уязвимость регистрации потенциально опасных записей в WINS-сервере

Уязвимость, которая позволяет проводить атаки типа "человек посередине", существует в WINS-серверах. Данная уязвимость позволяет атакующему, действующему удаленно, подменить web-прокси, что приведет к тому, что Интернет-трафик будет перенаправлен на адрес, выбранный злоумышленником.

На WINS-сервере могут быть зарегистрированы потенциально опасные записи.

Уязвимые системы

Microsoft Windows 2000, Microsoft Windows Server 2003

Уязвимый компонент

WINS-сервер

Максимальное воздействие

Атака «человек-посередине»

Наличие эксплоита в публичном доступе

нет

Идентификатор CVE

CVE-2009-0094

Вектор эксплуатации

Локальная сеть

Рейтинг опасности SecurityLab

Средний

Утилита

Компания Positive Technologies выпустила утилиту для выявления потенциально опасных записей в базе DNS- и WINS-служб. Утилита также позволяет сканировать доступную локальную сеть на предмет существования хостов с вышеуказанными NetBIOS-именами.

Периодическое использование утилиты позволит системным администраторам, а также администраторам по безопасности контролировать использование потенциально опасных записей в серверах имен и присутствие в сети узлов с опасными NetBIOS-именами.

Состав проверок и рекомендации по устранению уязвимостей

Проверки WINS-сервера

  1. Проверка наличия на WINS-сервере потенциально опасных записей (WPAD; WPAD.; ISATAP).

При обнаружении потенциально опасных записей проверьте, каким сетевым узлам принадлежат данные имена, или установите обновление MS09-008.

  1. Проверка возможности регистрации на WINS-сервере потенциально опасных записей (WPAD; WPAD.; ISATAP). В данном случае проверяется не столько возможность регистрации, сколько регистрация и возможность последующего разрешения (resolving) имени.

При выявлении данной уязвимости зарегистрируйте статические записи для потенциально опасных имен или установите обновление MS09-008.

Проверки DNS-сервера

Для корректной работы данных проверок требуется ввести имя анализируемой DNS-зоны.

  1. Проверка возможности динамического обновления DNS-зоны

Рекомендуется разрешать динамические обновления только от аутентифицированных узлов. Если динамические обновления зоны в сети не используются, то отключите их.

  1. Проверка наличия в данной DNS-зоне потенциально опасных записей (wpad, isatap).

При обнаружении потенциально опасных записей проверьте, каким сетевым узлам принадлежат данные имена, или установите обновление MS09-008.

  1. Проверка возможности регистрации в данной DNS-зоне потенциально опасных записей (wpad, isatap). Как и в случае с WINS, проверяется возможность успешного разрешения (resolving) имени после регистрации.

При выявлении данной уязвимости зарегистрируйте статические записи для потенциально опасных имен или установите обновление MS09-008.

Проверка доступной подсети

Утилита получает IP-адреса всех адаптеров, установленных на данном хосте, затем рассылает широковещательный NetBIOS-запрос c целью получить IP-адреса компьютеров, имеющих потенциально опасные NetBIOS-имена. Потенциально опасными NetBIOS- именами считаются WPAD, WPAD. и ISATAP.

При обнаружении потенциально опасного имени в сети необходимо проанализировать владельца данного узла и, при необходимости, принять меры.

Примечания:

  • Распознавание DNS- и WINS-сервисов в утилите не задействовано, поэтому сканирование узлов, не содержащих этих служб, практической ценности не имеет.
  • Для работы утилиты требуется .NET Framework.

Скачать утилиту

Ссылки

  1. Статья Сергея Рублева, посвященная слабым сторонам технологии WPAD:
    http://www.securitylab.ru/analytics/379619.php
  2. Множественные уязвимости в DNS и WINS в Microsoft Windows:
    http://www.securitylab.ru/vulnerability/369851.php
  3. Уязвимость регистрации WPAD (Microsoft Security Bulletin)
    http://www.microsoft.com/technet/security/Bulletin/MS09-008.mspx
  4. Описание WPAD на Википедии
    http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
  5. Динамические обновления DNS-зон в Windows 2003 Server
    http://support.microsoft.com/kb/816592
  6. Порядок разрешения имен
    http://ru.tech-faq.com/understanding-netbios-name-resolution.shtml
  7. Изменения в работе WINS-сервера после установки обновления
    http://support.microsoft.com/kb/968731
  8. Описание ISATAP на википедии
    http://en.wikipedia.org/wiki/ISATAP
  9. Обеспечение безопасности DNS для Windows
    http://www.oszone.net/5692/DNS_Windows

или введите имя

CAPTCHA
18-05-2009 19:52:56
Я конечно дико извиняюсь, но если в какой сети такие фокусы прокатывают, то надо не утилей сервер теребить, а гильотиной - админу по рукам, а лучше сразу по шее.
0 |
админ
18-05-2009 20:11:06
Как выяснилось, такие фокусы прокатывают у нас, т.к. даже патчи пока еще не везде стоят. А судя по статье, патчи не все устраняют...
0 |
19-05-2009 18:38:20
А это решается не столько патчами, сколько конфигурацией сервера. За ISATAP не скажу, не сталкивался, а вот WPAD просто отключать сразу надо, как и прочие подобные "улучшители". А на сервере должно стоять ПО, отслеживающее попытки пользоваться "неуставными" протоколами и блокирующее такую рабочую станцию с громким визгом админу в уши.
0 |
yan
18-05-2009 20:01:07
Посканил, ничего не нашло. Видимо не так ДНС на винде настраиваю.
0 |
19-05-2009 08:18:34
Пользуюсь WPAD, а потому, очевидно, проблема не актуальна.
0 |