Уязвимости операционной системы Windows 8 от штатной работы служб

МИНОБРНАУКИ РОССИИ

 

Федеральное государственное бюджетное образовательное

учреждение  высшего профессионального образования

 

«Ярославский государственный университет им. П.Г.Демидова»

 

Кафедра компьютерной безопасности и

Математических  методов обработки информации

 

 

 

 

 

 

 

 

 

Курсовая работа

 

 

Уязвимости операционной системы  Windows 8

от штатной работы служб

 

 

 

 

 

Научный руководитель

 

___________ Ю.И. Ушаков

 

«___» _______________ 2012 г.

 

 

Студент группы КБ-41

 

____________ И.М. Щапов

 

«___» _______________ 2012 г.

 

 

 

 

 

Ярославль 2012

 

Содержание

 

 

 

Введение

 

Windows 8— кодовое имя находящейся в разработке операционной системы (ОС), принадлежащей семейству ОС Microsoft Windows, последующей за Windows 7 и разрабатываемой транснациональной корпорацией Microsoft.

13 сентября 2011 года была  выпущена версия Windows Developer Preview.

29 февраля 2012 года стала  доступна первая бета-версия ОС Windows 8 Consumer Preview.

В данной работе я рассматриваю возможные  уязвимости Windows 8 от штатной работы служб. Службы ОС Windows (англ. Windows Service) — приложения, автоматически (если настроено) запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя. Имеет общие черты с концепцией демонов в Unix. Система будет проверена сканерами портов и уязвимостей, а так же будет проанализирована различная доступная документация по Windows 8 для составления более подробного описания сервисов и связанных с ними возможных уязвимостей.

 Для изучения была выбрана операционная система Windows 8 Consumer Preview.  Для чистоты исследования дополнительное ПО на нее не устанавливалось.

 

1. Службы в реестре Windows 8

1. Определение служб

 

Службы ОС Windows (англ. Windows Service, сервисы) — приложения, автоматически (если настроено) запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя. Имеет общие черты с концепцией демонов в Unix.

2. Режимы работы

 

В большинстве случаев  службам запрещено взаимодействие с консолью или рабочим столом пользователей (как локальных, так  и удалённых), однако для некоторых  сервисов возможно исключение — взаимодействие с консолью (сессией с номером 0, в которой зарегистрирован пользователь локально или при запуске службы mstsc с ключом /console).

Существует несколько  режимов для Сервисов:

• запрещён к запуску;
• ручной запуск (по запросу);
• автоматический запуск при загрузке компьютера;
• автоматический (отложенный) запуск (введён в Windows Vista и Windows Server 2008);
• обязательный сервис/драйвер (автоматический запуск и невозможность (для пользователя) остановить сервис).

3. Управление запуском служб при старте Windows

 

Список служб находится  в ветке Реестра Windows «HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services» (Рис.1).

 

Рис.1 Реестр Windows с открытой веткой служб

 

Для служб самыми информативными параметрами можно считать «DisplayName» и «Start». Из «DisplayName» можно понять название службы, и, как следствие, ее назначение. Параметр «Start» отвечает за запуск службы. Он имеет тип DWORD и может принимать одно из 5 значений:

• 0 — Низкоуровневые драйверы, например драйверы дисков, которые загружаются на самом раннем этапе загрузки — загрузки ядра;
• 1 — Драйверы, которые загружаются после инициализации ядра ОС;
• 2 — Службы, которые должны быть загружены Диспетчером Управления Сервисами (равен параметру — «Авто»);
• 3 — Службы, запускаемые Диспетчером Управления Сервисами, только в случае получения явной инструкции на загрузку (равен параметру — «Вручную»);
• 4 — Службы, которые не загружаются (равен параметру — «Отключено»).

Например, служба NetBIOS Interface имеет параметр Start = 1, а служба Netlogon – 3.

Для службы так же может быть не указан параметр «Start». Это свидетельствует о том, что данная служба вызывается в процессе работы другой службы.

Как видно из данного  материала, одной из возможных уязвимостей  является принудительное повышение  приоритета запуска нужной злоумышленнику службы, которая несет в себе вредоносный код. Проблема в том, что при установке операционная система разворачивает больше сервисов, чем их нужно рядовым пользователям. Для этих сервисов пользователи не ставят патчи. Для ОС — установки по умолчанию дополнительных сервисов и соответствующих им открытых портов, через которые атакующий может попасть в систему. Для приложений — установка по умолчанию ненужных программных модулей и скриптов.

4. Управление работой служб из командной строки

 

Управление службами возможно с помощью командной строки: остановка службы — net stop service_name , запуск службы — net start service_name . Например, запуск службы «Диспетчер очереди печати» — «net start spooler».

Удаление службы: sc delete "Имя службы" (кавычки необходимы, если имя службы содержит пробелы). С удалением нужно быть предельно осторожным, так как удалённую службу вернуть назад очень и очень трудно.

Установка режима запуска  службы: sc config "Имя службы" start= параметр запуска.

Параметры запуска:

• auto (автоматически),
• demand (вручную),
• disabled (отключена).

Режим просмотра состояния  службы: sc qc "Имя службы".

5. Права пользователя и особенности реализации

 

Сервисы Windows по умолчанию  запускаются от имени пользователя «LocalSystem», который обладает полными правами в системе (превосходящими права даже учётной записи «Administrator»). Рабочим каталогом будет каталог Windows (определяется переменной WinDir, которая обычно равна C:\WINNT или «C:\WINDOWS»), а каталог для хранения временных файлов будет «%WinDir%\TEMP».

Поскольку это не настоящий  пользователь, а «системный», то появляются некоторые трудности, когда приложению необходимо сохранить данные, относящиеся  к пользователю (user-specific data), поскольку  домашней директории этого пользователя не существует.

Важно также то, что  в случае, если служба работает от имени  локального пользователя (реальный пользователь созданный для служебных целей), если пароль такого пользователя изменён, сервис не будет запускаться до тех  пор, пока пароль для сервиса тоже не будет изменён.

6. Получение списка служб с описанием через оснастку Computer Management

 

Оснастка Computer Management (Управление компьютером) (Рис.2) является основным средством для настройки параметров и конфигурирования локальных и удаленных компьютеров. Ее можно запустить, щелкнув правой кнопкой мыши опцию Computer (Компьютер) меню Start и выбрав в контекстном меню команду Manage (Управление).

 

Рис.2 Окно оснастки Computer Management

 

В пространстве имен оснастки имеются три узла: System Tools (Служебные программы), Storage (Запоминающие устройства) и Services and Applications (Службы и приложения). Нам понадобится третий узел.

Переходим в подузел Services (Службы). Там нам доступен список почти всех служб Windows. Так как версия Consumer Preview на данный момент доступна лишь в английской и китайской локализации, то мной были переведены на русский все описания к службам. Полный список служб с именами, описаниями и типами запуска приведен в Приложении А.

 

2. Уязвимости Windows от штатной работы сервисов

 

Наибольшую опасность  для пользователя представляют те уязвимости, которые возникают при работе сервисов связанных с удаленным  доступом к системе, реализацией  разграничения доступа и политикой  управления правами и привилегиями, резервированием и восстановлением системы.

1. Сервисы, связанные с удаленным доступом

 

Операционная система Windows позволяет пользователям работать с компьютером, находясь на большом  расстоянии от него. Этот механизм называется удаленный доступ. Суть удаленного доступа состоит в том, что администратор подключается к компьютеру по сети, например, по Интернету, и у него на экране появляется содержимое экрана удаленного компьютера. В отличие от обычного сетевого соединения, можно не только работать с дисками и файлами этого компьютера, но и выполнять задачи по его настройке, запускать на нем программы и завершать их работу. Также можно добавлять и удалять пользователей, менять пароли и так далее. Такие большие возможности, просто «лакомый кусочек» для злоумышленников, поэтому они всеми силами стараются получить управление над службами удаленного доступа, используя их уязвимости.

Рассмотрим поподробнее эти службы.

 

Background Intelligent Transfer Service.

Служба ОС Windows, которая  может передавать файлы в фоновом  режиме. Она используется, в основном, для Windows Update. Какой же интерес BITS представляет для разработчиков?

1. Возможность закачки  файлов в фоновом режиме, незаметно  для пользователя 

2. Высокий уровень  отказоустойчивости. Если сетевой  кабель перерубят, или компьютер выпадет в «синий экран», то BITS докачает файлы, как только это станет возможно.

3. Intelligent сказано не  зря. Если пользователь в данный  момент ничего не качает и  компьютер простаивает, BITS воспользуется освободившимися ресурсами. Эту особенность можно использовать, назначая различные приоритеты закачек.

 

Bluetooth Support Service.

Служба Bluetooth поддерживает открытие и ассоциацию удаленных  устройств Bluetooth. Остановка или отключение этой службы могут привести к тому, что уже установленные устройства Bluetooth не будут работать должным образом и препятствовать тому, чтобы новые устройства были обнаружены.

 

Broker Infrastructure.

Выполнение координации  фоновой работы для приложений WinRT.

 

Device Association Service.

Возможность сопряжения между системой и проводными или беспроводными устройствами.

 

Device Setup Manager.

Автоматическое обновление драйверов. Включает обнаружение, загрузку и установку устройства, связанные  с программным обеспечением. Если эта служба отключена, устройства могут быть настроены с устаревшим программным обеспечением, и не могут работать неправильно.

 

Function Discovery Resource Publication.

Публикует этот компьютер с его  ресурсами, так что их можно будет  обнаружить в сети.  Если эта служба остановлена, то сетевые ресурсы  уже не будут публиковаться и не будут обнаруживаться другими компьютерами в сети.

 

Link-Layer Topology Discovery Mapper.

Создает карту сети, содержащую сведения о топологии компьютеров и  устройств (подключений), а также  метаданные, описывающие каждый компьютер  и устройство.  Если эта служба отключена, карта сети будет работать неправильно.

 

Microsoft iSCSI Initiator Service.

Управляет сеансами Интернет-SCSI (iSCSI) между компьютером и удаленными целевыми устройствами iSCSI. Если эта  служба остановлена, компьютер не сможет выполнить вход в систему или получить доступ к целевым устройствам iSCSI. Если данная служба отключена, ни одну явно зависящую от нее службу запустить не удастся.

 

Net.Tcp Port Sharing Service.

Предоставляет возможность совместного  использования TCP-портов по протоколу Net.Tcp. 

 

Netlogon.

Обеспечивает безопасный канал  связи между этим компьютером  и контроллером домена для проверки подлинности пользователей и  служб. Если эта служба остановлена, компьютер может быть неспособен проверять подлинность пользователей и служб и контроллер домена не может регистрировать DNS-записи. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.

 

Network Access Protection Agent.

Агент службы защиты доступа к сети собирает и управляет сведениями о работоспособности клиентских компьютеров в сети. Собранные данным агентом сведения используются для подтверждения того, что на клиентском компьютере есть необходимое программное обеспечение и используются нужные параметры. Если клиентский компьютер не соответствует политике работоспособности, то он может получить ограниченный доступ в сеть до обновления его конфигурации. В зависимости от конфигурации политики работоспособности клиентские компьютеры могут обновляться автоматически, поэтому пользователи быстро снова получают полный сетевой доступ без необходимости обновлять компьютер вручную.

 

Network Connected Devices Auto-Setup.

Автоматическая установка настройка и мониторинг подключенных к сети устройств. Остановка или отключение этой службы приведетпредотвратить Windows от обнаружения и установки квалифицированнымиподключенными к сети устройствами автоматически. Пользователи могут вручную добавить сеть устройств, подключенных к ПК с помощью интерфейса пользователя.

 

Network Connections.

Управляет объектами  папки ''Сеть и удаленный доступ к  сети'', отображающей свойства локальной  сети и подключений удаленного доступа.

 

Remote Access Auto Connection Manager.

Создает подключение  к удаленной сети, когда программа  обращается к удаленному DNS- или NetBIOS-имени или адресу.

 

Remote Access Connection Manager.

Управляет подключениями  удаленного доступа и виртуальной  частной сети (VPN) с данного компьютера к Интернету или другим удаленным  сетям. Если данная служба отключена, все  явно зависящие от нее службы запустить не удастся.