Attaques de session nulle et comment les éviter

Une vulnérabilité bien connue au sein de Windows peut mapper une connexion anonyme (ou null session

Sommaire

) À un partage caché appelé IPC $ (qui signifie pour la communication inter-processus). Cette méthode de hack peut être utilisé pour

  • Recueillir des informations de configuration de l'hôte Windows, tels que les ID utilisateur et les noms de partage.

  • Modifier parties de registre de l'ordinateur distant.

Bien que Windows Server 2008, Windows XP, Windows 7 et Windows 8 ne permettent pas de connexions de session nulle par défaut, Windows 2000 Server ne - et (malheureusement) beaucoup de ces systèmes sont encore là pour causer des problèmes sur la plupart des réseaux.

Plan d'une session nulle

Suivez ces étapes pour chaque ordinateur Windows à laquelle vous souhaitez mapper une session null:

  1. Formater la base net commande, comme ceci:

    net use host_name_or_IP_address de $ IPC "" "/ user:"

    La net commande à la carte sessions nulles exige ces paramètres:

    • net suivie par la utilisation commandement

    • L'adresse IP ou le nom du système sur lequel vous souhaitez mapper une connexion null

    • Un mot de passe vide et nom d'utilisateur

    • Appuyez sur Entrée pour établir la connexion.

      Après avoir mappé la session null, vous devriez voir le message La commande a réussi.

      image0.jpg

    Pour confirmer que les sessions sont mappés, entrez cette commande à l'invite de commande:

    net use

    Vous devriez voir les correspondances au partage IPC $ sur chaque ordinateur auquel vous êtes connecté.

    Glaner des informations

    Avec une connexion de session nulle, vous pouvez utiliser d'autres utilitaires pour recueillir de l'information critique de Windows à distance. Des dizaines d'outils peuvent recueillir ce type d'information.




    Vous - comme un hacker - pouvez prendre la sortie de ces programmes de dénombrement et de tenter de

    • Casser les mots de passe des utilisateurs trouvés.

    • Carte pousse à les partages réseau.

    Vous pouvez utiliser les applications suivantes pour le dénombrement du système contre les versions serveur de Windows Server 2003 avant ainsi que Windows XP.

    net view

    La net view commande affiche actions que l'hôte Windows dispose. Vous pouvez utiliser la sortie de ce programme pour voir les informations du serveur fait de la publicité dans le monde et ce qui peut être fait avec elle, y compris les suivantes:

    • Partager des informations qu'un pirate peut utiliser pour attaquer vos systèmes, tels que les lecteurs de cartographie et de craquage de mots de passe actions.

    • Les autorisations de partage qui pourraient avoir besoin d'être enlevés, comme l'autorisation pour le groupe Tout le monde, au moins voir l'action sur les anciens systèmes Windows 2000.

      image1.jpg

    Configuration et informations utilisateur

    Winfo et DumpSec peuvent recueillir des informations utiles sur les utilisateurs et de configurations, comme

    • Domaine Windows auquel appartient le système

    • Les paramètres de stratégie de sécurité

    • Utilisateurs locaux

    • Actions entraînement

    Votre préférence peut dépendre de si vous aimez les interfaces graphiques ou une ligne de commande. Winfo est un outil de ligne de commande. Ce qui suit est une version abrégée de la production de winfo d'un serveur Windows NT, mais vous pouvez recueillir les mêmes informations à partir d'autres systèmes Windows:

    Winfo 2.0 - Copyright (c) 1999-2003, Arne Vidstrom- http://ntsecurity.nu/toolbox/winfo/SYSTEM INFORMATION: - version de l'OS: POLITIQUE DE 4.0PASSWORD: - Temps entre la fin du temps d'ouverture de session et a forcé la fermeture de session: Non forcé logoff- âge maximal du mot de passe: 42 ans de mot de passe minimum jours-: 0 jours- longueur d'historique du mot de passe: 0 passwords- longueur du mot de passe minimum: 0 charactersUSER COMPTES: * Administrateur (Ce compte est le compte intégré de l'administrateur) * DoctorX * Guest (Cette compte est le haut-compte invité) * IUSR_WINNT * kbeaver * nikkiSHARES: * ADMIN $ - Type: action spéciale réservée à la CIB ou partage administratif * IPC $ - Type: Inconnu * Type Here2Bhacked-: Lecteur de disque * C $ - Type: Partager spécial réservé pour IPC ou administrative action * Finances- Type: Lecteur de disque * Type de HR: Lecteur de disque

    Cette information ne peut être glanée à partir d'une installation par défaut de Windows Server 2003, Windows XP, Windows 7 ou Windows 8.

    Vous pouvez prendre connaissance de la sortie de ces outils pour les ID utilisateur qui ne vous appartiennent pas sur votre système, tels que

    • Comptes ex-employé qui ne l'ont pas été désactivées

    • Comptes de backdoor potentielles qu'un intrus aurait créés

    NetUsers

    L'outil NetUsers peut montrer qui a connecté à un ordinateur Windows distant. Vous pouvez voir des informations telles que

    • Compte privilèges maltraités

    • Utilisateurs actuellement connectés dans le système

      image2.jpg

    Cette information peut vous aider à suivre, à des fins de vérification, qui est la connexion à un système. Malheureusement, cette information peut être utile pour les pirates quand ils essaient de comprendre ce que les ID utilisateur sont disponibles à craquer.

    Mesures contre les hacks de session null

    Si il fait bon sens des affaires et le timing est bon, passer à Windows Server 2012 ou plus sécurisée de Windows 7. Ils ne possèdent pas les vulnérabilités décrites dans la liste suivante.

    Vous pouvez facilement éviter nulles hacks de connexion de la session en mettant en œuvre une ou plusieurs des mesures de sécurité suivantes:

    • NetBIOS de bloc sur votre serveur Windows en empêchant ces ports TCP de passer à travers votre pare-feu de réseau ou pare-feu personnel:

    • 139 (services de sessions NetBIOS)

    • 445 (fonctionne SMB sur TCP / IP sans NetBIOS)

  2. Désactivez Partage de fichiers et d'imprimantes pour les réseaux Microsoft dans l'onglet Propriétés de la connexion réseau de la machine pour les systèmes qui ne ont pas besoin.

  3. Restreindre les connexions anonymes au système. Pour Windows NT et Windows 2000 systèmes, vous pouvez définir HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa RestrictAnonymous à une valeur DWORD comme suit:

    • Aucun: Ce sont les paramètres par défauts.

    • Comptez sur les autorisations par défaut (Réglage 0): Ce paramètre permet les connexions par défaut de session nulle.

    • Ne pas autoriser l'énumération des comptes et partages SAM (Réglage 1): Ceci est le réglage de niveau de sécurité moyenne. Ce réglage permet toujours sessions nulles à être mappés à IPC $, permettant à ces outils Walksam de recueillir des informations du système.

    • Aucun accès sans autorisations explicites Anonyme (réglage 2): Ce réglage de haute sécurité empêche les connexions de session nulle et énumération système.

    • Article 246261 Base de connaissances Microsoft couvre les dangers d'utiliser le réglage de haute sécurité RestrictAnonymous. Il est disponible sur le web à http://support.microsoft.com/default.aspx?scid=KB-en-us-246261.

      image3.jpg


      » » » » Attaques de session nulle et comment les éviter