Автор работы: Пользователь скрыл имя, 11 Декабря 2012 в 01:04, курсовая работа
В данной работе я рассматриваю возможные уязвимости Windows 8 от штатной работы служб. Службы ОС Windows (англ. Windows Service) — приложения, автоматически (если настроено) запускаемые системой при запуске Windows и выполняющиеся вне зависимости от статуса пользователя.
Введение 3
1. Службы в реестре Windows 8 4
1.1. Определение служб 4
1.2. Режимы работы 4
1.3. Управление запуском служб при старте Windows 4
1.4. Управление работой служб из командной строки 6
1.5. Права пользователя и особенности реализации 6
1.6. Получение списка служб с описанием через оснастку Computer Management 6
2. Уязвимости Windows от штатной работы сервисов 8
2.1. Сервисы, связанные с удаленным доступом 8
2.2. Сервисы, связанные с реализацией разграничения доступа и политикой управления правами и привилегиями 10
2.3. Сервисы, связанные с резервированием и восстановлением системы 12
2.4. Итог по сервисам 12
3. Практический подход к выявлению уязвимостей 13
3.1. Проверка Windows 8 сканером портов 13
3.2. DOS атака против Windows 8 16
4. Способы повысить безопасность в Windows 8 17
Заключение 18
Список литературы 19
Приложение А 20
Problem Reports and Solutions Control Panel Support.
Эта служба обеспечивает просмотр, отправку и удаление отчетов о проблемах системного уровня для элемента панели управления "Отчеты о проблемах и их решениях".
Secondary Logon.
Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен. Если эта служба отключена, то нельзя запустить другие службы, которые явно зависят от нее.
Security Accounts Manager.
Запуск этой службы служит
для других служб сигналом о том,
что диспетчер учетных записей
безопасности (SAM) готов к приему
запросов. При отключении данной
службы другие службы в системе не
получат уведомления о
Storage Service.
Применяет групповую политику для устройств хранения данных.
Task Scheduler.
Позволяет настраивать расписание автоматического выполнения задач на этом компьютере. Данная служба также отвечает за выполнение нескольких критически важных системных задач Windows. Если эта служба остановлена, эти задачи не могут быть запущены в установленное расписанием время. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
User Profile Service.
Эта служба отвечает за загрузку и выгрузку профилей пользователей. Если эта служба остановлена или отключена, пользователи не могут успешно входить в систему и выполнять выход, в приложениях могут возникать ошибки при обращении к данным пользователей, а компоненты, зарегистрированные для получения уведомлений о событиях профилей, не получат их.
Virtual Disk.
Предоставление служб
управления дисками, томами, файловыми
системами и массивами
Windows Biometric Service.
Биометрическая служба
Windows предназначена для сбора, сравнения,
обработки и хранения биометрических
данных в клиентских приложениях
без получения
Windows Driver Foundation - User-mode Driver Framework.
Управляет хост-процессами драйвера непривилегированного режима.
Windows Error Reporting Service.
Разрешает отправку отчетов об ошибках в случае прекращения работы или зависания программы, а также разрешает доставку имеющихся решений проблем. Также разрешает создание журналов для служб диагностики и восстановления. Если эта служба остановлена, то могут не работать отчеты об ошибках и не отображаться результаты служб диагностики и восстановления.
Windows Firewall.
Брандмауэр Windows помогает
предотвратить
Windows Management Instrumentation.
Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами. После остановки данной службы многие Windows-приложения могут работать некорректно. При отключении данной службы зависимые от нее службы не смогут быть запущены.
Windows Modules Installer.
Позволяет выполнять установку, изменение и удаление обновлений Windows и дополнительных компонентов. Если эта служба отключена, установка или удаление обновлений Windows могут не работать на этом компьютере.
Итого 26 служб. Рассмотрим
поподробнее самые
Имя: Secondary Logon
Уязвимость: Пользователь может повысить свои привилегии. Если доступ к программе запрещен через групповую политику, можно просто скопировать его в любое место, куда разрешена запись, и сделать Run As от своего имени - он запустится. Дело в том, что при копировании права на файл меняются - ведь копирующий получает права создателя/владельца.
Имя: User Account Control
Уязвимость: позволяет локальному злоумышленнику выполнить вредоносные действия с повышенными привилегиями на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в User Account Control (UAC) Consent UI компоненте при обработке значений реестра. Атакующий может передать специально сформированные данные, что позволит получить ему привилегии "LocalSystem".
Уязвимость: позволяет локальному злоумышленнику выполнить вредоносные действия с повышенными привилегиями на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в функциональности User Access Control (UAC) в функции 'RtlQueryRegistryValues()'. Атакующий может передать специально сформированные данные, что приведет к выполнению произвольного кода с повышенными привилегиями.
Имя: Active Directory
Уязвимость: позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в Local Security Authority Subsystem Service (LSASS) в реализациях Active Directory, Active Directory Application Mode (ADAM), и Active Directory Lightweight Directory Service (AD LDS). Атакующий может передать специально сформированное LDAP сообщение затронутому LSASS серверу, что приведет к выполнению произвольного кода.
Имя: Task Scheduler
Уязвимость: Планировщик заданий Windows может не правильно определить контекст безопасности запланированных задач, что позволит локальному пользователю получить привилегии через созданное приложение.
Из выше перечисленного становится ясно, что основные уязвимости служб данного раздела основаны на том, что политики безопасности применяются на компьютере локально и могут иметь различия даже в пределах одной учетной записи.
Резервное копирование (англ. backup) —
процесс создания копии данных на
носителе (жёстком диске, дискете
и т. д.), предназначенном для
Рассмотрим поподробнее сервисы данного типа.
Block Level Backup Engine Service .
Служба WBENGINE используется Резервным
копированием Windows, чтобы выполнить
операции восстановления и резервное
копирование. Отключение этой службы может
отключить резервное
BranchCache.
Эта служба кэширует сетевое содержимое, полученное от кэширующих узлов локальной подсети.
Credential Manager.
Обеспечивает защищенное хранение и извлечение учетных данных пользователей, приложений и служебных пакетов.
Microsoft Software Shadow Copy Provider .
Управляет программным созданием теневых копий службой теневого копирования тома. Если эта служба остановлена, то управление программным созданием теневых копий невозможно. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
Network Location Awareness .
Собирает и хранит конфигурационную информацию для сети и уведомляет программы, когда эта информация изменена. Если эта служба остановлена, конфигурационная информация могла бы быть недоступной. Если эта служба будет отключена, то любые службы, которые явно зависят от нее, не запустятся.
Software Protection.
Разрешает загрузку, установку
и принудительное применение цифровых
лицензий для Windows и приложений Windows.
Если служба отключена, возможно, операционная
система и лицензированные
Volume Shadow Copy.
Управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления или для иных целей. Если эта служба остановлена, теневые копии томов для восстановления не будут доступны и архивация и восстановление могут не работать. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
Windows Backup Provides.
Windows Backup and Restore capabilities.
Windows Biometric Service.
Биометрическая служба
Windows предназначена для сбора, сравнения,
обработки и хранения биометрических
данных в клиентских приложениях
без получения
Итого 9 служб. Рассмотрим
наиболее часто встречающиеся
Имя: Volume Shadow Copy
Уязвимость: при определенных условиях злоумышленник может, получив этот файл, расшифровать его и получить все находящиеся в нем пароли.
Имя: Windows Backup
Уязвимость: Уязвимость существует из-за того, что Microsoft Windows Backup (sdclt.exe) загружает небезопасным образом библиотеки (например, fveapi.dll). Удаленный пользователь может с помощью специально сформированного WBCAT файла, расположенного на удаленном WebDAV или SMB ресурсе, загрузить и выполнить произвольные библиотеки на системе.
Из вышеперечисленного видно, что для этого типа служб, уязвимые места заключаются в низком уровне шифрования и потоконебезопасной работе с данными.
При выполнении данной работы, я насчитал 161 службу в операционной системе Windows 8. Я рассмотрел здесь лишь наиболее важные и основные из них. Но всего служб, так или иначе зависящих от этих, намного больше. Некоторые службы тяжело отнести к какому-то одному подвиду: для удаленного доступа, для реализации разграничения прав или для резервного копирования и восстановления, так как зачастую они реализуют несколько функционалов. При предварительном подсчете, таких служб набралось в районе 60-80. Это порядка 40-50%. То есть, минимум 40% служб так или иначе несут угрозу для сохранности информации пользователя. Что смотрится очень подозрительно на фоне сообщения от Microsoft о том, что новая ОС очень хорошо защищена.
Некоторым уязвимостям, рассмотренным тут, уже несколько лет. Microsoft знает о них, но не торопится исправлять, что поневоле наводит на мысль о том, что им выгодно такое положение дел.
Для того, чтобы на практике проверить некоторые из уязвимостей, я просканировал ОС сканером портов, и подвергнул систему dos атаке.
Получить несанкционированный доступ удаленно возможно воспользовавшись одним из портов.
По этой причине я просканировал Windows 8 внутренней утилитой netstat и внешней Zenmap.
При сканировании внутренней утилитой не было никаких результатов (Рис.3). Она показала, что все порты закрыты или возможно находятся в режиме фильтрации. Некоторые служебные порты она показала только при запуске ее с параметром “-a” (Рис.4).
Рис.3 Сканирование netstat.
Рис.4 Применение netstat с параметром –a
При проверке Zenmap были получены результаты по нескольким открытым портам при применении ключа –sT (Рис.5). Это используемый по умолчанию тип TCP сканирования, когда недоступно SYN сканирование. Это происходит в случае, когда у пользователя нет привилегий для использования сырых пакетов или при сканировании IPv6 сетей. Вместо того, чтобы использовать сырые пакеты, как это происходит при большинстве других типов сканирования, Zenmap "просит" операционную систему установить соединение с целевой машиной по указанному порту путем системного вызова connect. Это такой же высокоуровневый системный вызов, используемый браузерами, P2P клиентами и другими приложениями для установки соединения. Этот вызов является частью программируемого интерфейса, известного как Berkeley Sockets API. Вместо того, чтобы считывать ответы в форме сырых пакетов, Nmap использует этот API для получения информации о статусе каждой попытки соединения.
Как видно из рисунка были получен доступ к 135, 445, 554, 2869, 10243, 49152, 49153, 49154, 49155, 49156
Рис. 5 Окно Zenmap с результатами сканирования
Пояснение по портам:
Итог по сканированию портов: порты таких служб как Telnet и Remote Desctop конечно закрыты, но осталось несколько открытых портов, причем из тех, на которые и приходится большая часть внешних атак.
Microsoft писала, что эта
уязвимость может быть
Детали уязвимости (CVE 2010-4669):
Реализация протокола Neighbour Discovery в стеке IPv6 в Microsoft Windows XP, Server 2003, Vista, Server 2008, Windows 7 и Windows 8 позволяет удаленному злоумышленнику вызвать отказ в обслуживании (возрастает потребление процессора и система зависает), отправив множество Router Advertisement (RA) сообщений с разных адресов источника.
Атака производилась с помощью flood_router6 в BackTrack 5.
Исходя из предыдущих пунктов, можно повысить безопасность данной ОС, выполнив несколько действий:
Информация о работе Уязвимости операционной системы Windows 8 от штатной работы служб