NetBIOS Sessions Nulles : le Bon, le Mauvais et le Laid
( MIS À JOUR le 2 janvier 2003)

Suivez la liaison ci-dessous pour télécharger un scénario pour mettre hors de service des sessions nulles : le Téléchargement Met hors de service le Scénario de Sessions Nul

I. Le Concept de Session Nul : le Bon ? 1

II. Le Mauvais et le Laid. 1

III. Utilisation de l'Information. 4

IV. Comment mettre hors de service Sessions NetBIOS Nulles. 5

V. Nouveau Potentiel de défense. 6

VI. Références et Plus loin lecture. 7

I. Le Concept de Session Nul : le Bon ?
La Session Nulle est souvent mentionnée comme "Grail Saint" de hachage de Fenêtres. I nscrit comme la vulnérabilité de fenêtres de numéro 5 sur le Sommet SANS/FBI 20 liste, des Sessions Nulles profite de défauts dans le CIFS/SMB (le Système de fichiers d'Internet Commun /Server le Bloc de Messagerie) l'architecture. V ous pouvez établir une Session Nulle avec une Fenêtres (NT/2000/XP) l'hôte en enregistrant sur avec un nom d'utilisateur nul et le mot de passe. L 'utilisation de ces rapports(connexions) nuls vous permet de réunir(cueillir) l'information suivante de l'hôte :

- Liste d'utilisateurs et groupes

- Liste de machines

- Liste de parts

- Utilisateurs et hôte SID ' (Identificateurs de Sécurité)

Cette "Particularité" de gestion de réseau de fenêtres existe pour que :

-Les domaines Crus peuvent énumérer des ressources

- Les ordinateurs à l'extérieur du domaine peuvent authentifier et énumérer des utilisateurs

-Le compte de SYSTÈME peut authentifier et énumérer des ressources

Pour une pleine description de comment des Sessions NetBIOS Nulles sont employées dans une Fenêtres l'environnement de réseau voit "des Sessions NULLES Dans NT/2000" (http://rr.sans.org/win/null.php) par Joe Finamore. C'est peut-être la meilleure description de pourquoi des Sessions Nulles existent et des faits de Session généraux Nuls. Un autre papier excellent est "des Mots de passe Faibles + la Session Nulle = des Fenêtres 2000 Exploite" (http://www.giac.org/practical/Michael_Kriss_GCIH.doc) par Michel S. Kriss. Il décrit les dangers de Sessions Nulles et donne un exemple d'incident qui emploie cette vulnérabilité.

II. Le Mauvais et le Laid
Plus de temps que je peux compter j'ai répondu à un incident, ou ai vérifié un hôte et cela a été vulnérable à une Session Nulle. Si le port 139 est ouvert et c'est un hôte de fenêtres il y a une bonne chance que je peux me réunir(cueillir) tout l'usernames et des parts en exécutant une commande. J'emploie beaucoup d'outils pour faire cela, voici quelques exemples :

Enum (http://razor.bindview.com/tools/desc/enum_readme.html)

Enum est vraiment un des meilleurs outils pour exploiter la vulnérabilité de Session Nulle. C'est "le couteau suisse d'armée" de hachage de Session Nul, la permission vous à exploitez chaque aspect de ce défaut. S on vrai mensonge de pouvoir(puissance) dans la capacité d'énumérer des utilisateurs, essaye ensuite à la brute forcent le mot de passe employant une liste de mot de passe fournie. La production type est ci-dessous (je cours d'habitude avec le-S et des drapeaux-U comme indiqué ci-dessous) :

C:\tools>enum < Adresse IP >
Serveur : < Adresse IP >
Installation session... Succès.
L'obtention de l'utilisateur inscrit (passe 1, l'index 0)... Le succès, est arrivé 5.
Invité d'Administrateur IUSR_CHANNEL IWAM_CHANNEL victim_user
L'énumération de parts (passe 1)... A obtenu 4 parts, 0 gauche :
IPC$ c ADMIN$ C$
Nettoyage... Succès.

De la susdite production nous pouvons voir que la machine a un utilisateur complémentaire à part des comptes de défaut, appelés "victim_user" et qu'aucun des comptes de défaut n'a été rebaptisé. C'est une autre "Particularité" que des Sessions Nulles fournissent, si l'utilisateur a été consciencieux et avait rebaptisé le compte d'administrateur, nous pouvons voir à quoi il a été changé. Le compte d'invité existe aussi, qui se procure le défaut dans la plupart des fenêtres et doit être laissé mis hors de service. Il apparaît comme si cette machine dirige aussi Microsoft IIS le serveur Web, de l'IUSR _ < le nom de machine > le compte qui existe. Déplaçant sur aux parts nous voyons tout le défaut des parts cachées administratives (dénoté par le caractère "de $"), aussi bien qu'une part non cachée appelée "c". On peut seulement imaginer à quoi cette part est dressée la carte sur cette machine.

Chasse (http://www.foundstone.com/knowledge/proddesc/forensic-toolkit.html)

La partie du Toolkit NT Légal de Foundstone, cet outil fait très facile d'énumérer des utilisateurs et des parts d'un hôte de fenêtres vulnérable. Quelque production type est ci-dessous :

C:\tools>hunt \\ < Adresse IP >
Part = IPC$ - IPC Éloigné
Part = c-
Part = ADMIN$ - Admin Éloigné
Part = C$ - part de Défaut
Utilisateur = Administrateur, compte Incorporé d'administration de l'ordinateur / domaine

Admin est < NetBIOS Nom > \Administrator
L'utilisateur = l'Invité, le compte Incorporé de l'invité a accès à l'ordinateur / domaine
Utilisateur = IUSR _ < NetBIOS Nom >, Compte d'Invité d'Internet, compte Incorporé d'accès anonyme à Services d'Information d'Internet, compte Incorporé d'accès anonyme à Services d'Information d'Internet
Utilisateur = IWAM _ < NetBIOS Nom >, Compte d'Invité d'Internet, compte Incorporé d'accès anonyme à Services d'Information d'Internet de demandes(applications) de processus, compte Incorporé d'accès anonyme à Services d'Information d'Internet de demandes(applications) de processus
Utilisateur = victim_user Nom de Victime,

Ci-dessus nous voyons la même information qu'enum des cadeaux représentés dans un format légèrement différent.

Winfo (http: // ntsecurity.nu/toolbox/winfo /)

Cet outil de ligne de commande met en doute l'hôte pour la plupart de l'information faite disponible par une session nulle (Incluant n'importe quels rapports fiduciaires) et le montre à l'écran. La production type est ci-dessous :

L:\>winfo 128.148.151.7-n
Winfo 1.5 - droit d'auteur (c) 1999-2001, Arne Vidstrom
-http://www.ntsecurity.nu/toolbox/winfo/

Essai d'établir session nulle...
Session nulle établie.

L'UTILISATEUR ESTIME :

* Administrateur
( Ce compte est le compte d'administrateur incorporé)

* Invité
( Ce compte est le compte d'invité incorporé)

* Victim_user

COMPTES DE CONFIANCE(TRUST) DE POSTE DE TRAVAIL :

COMPTES DE CONFIANCE(TRUST) D'INTERDOMAINE :

COMPTES DE CONFIANCE(TRUST) DE SERVEUR :

PARTS :

* IPC$

* Drivec$

La production ci-dessus montre l'inscription d'utilisateurs, semblables aux autres outils. Winfo est unique dans cela il montrera aussi les rapports fiduciaires cette machine peut avoir avec d'autres machines. Finalement, il inscrira les parts qu'il a faites disponible.

Dumpsec (http: // www.systemtools.com/somarsoft /)

Autrefois Dumpacl, Cet outil est semblable à winfo, mais a une interface GUI.

Outils incorporés

La façon la plus facile d'énumérer des Sessions Nulles est d'exécuter la commande suivante employant l'utilité "nette" qui vient avec la plupart des versions de fenêtres. Sans Sessions Nulles quand nous essayons d'inscrire les parts sur un ordinateur de fenêtres éloigné c'est typiquement le résultat :

C:\tools>net vue file://128.148.54.251/ { file://128.148.54.251/ }
L'erreur de système 5 est arrivée.

L'accès est nié.

Par défaut nous n'aurions pas des permissions d'inscrire les parts. Si nous dressons la carte de la part d'IPC$ (Enterrons des Communications de Processus) l'utilisation de notre nul username et des combinaisons de mot de passe nous sommes couronnés de succès :

Employez C:\tools>net \\ MON SUB.NET.IP\IPC$ "" /u : ""
La commande achevée avec succès.

Maintenant nous essayons d'inscrire les parts de nouveau avec le succès plus grand :

C:\tools>net vue file://128.148.54.251/ { file://128.148.54.251/ }
Ressources Partagées à \\ MY.SUB.NET.IP

Type de nom de Part Employé comme Commentaire
------------------------------------------------------------------------------
C Disque
La commande achevée avec succès.

III. Utilisation de l'Information
Un attaquant emploiera l'information gagnée de Sessions Nulles et essayera à la connection au système, employant les outils divers qui essayeront username différent et des combinaisons de mot de passe. Des attaques récentes contre des ordinateurs d'Université ont l'exposition que les attaquants gagneront typiquement l'accès au système, le logiciel de copie à la machine (des serveurs de FTP, IRC bots et des outils DDOS sont très communs), copient ensuite l'illégal (protégé par le droit d'auteur et piraté) le logiciel pour la distribution. Le Serveur de FTP de serveur Serv-U de FTP et l'IRC bot iroffer sont très communs aussi. Cette t âche est faite plus facile par les utilisateurs qui quand incité pour un mot de passe d'administrateur en installant NT/2000/XP le laissent le formulaire. Mettez s'il vous plaît un mot de passe à chaque compte sur votre machine, si pas pour la sécurité de votre machine, donc pour la sécurité de toutes nos machines.

IV. Comment mettre hors de service Sessions NetBIOS Nulles
Suivez la liaison ci-dessous pour télécharger un scénario pour mettre hors de service des sessions nulles : le Téléchargement Met hors de service le Scénario de Sessions Nul (Écrit(conçu) par Brun Université Services de Logiciel)

Ci-dessous sont des instructions sur comment manuellement mettre hors de service des Sessions NetBIOS Nulles :

Fenêtres XP Édition Domestique

Notez : Cela travaille aussi dans des Fenêtres 2000 et le Professionnel XP.

Mettez la Clef d'Enregistrement Suivante :

HKLM/System/CurrentControlSet/Control/LSA/RestrictAnonymous=2

Fenêtres XP Édition Professionnelle

Allez aux Outils Administratifs - > la Politique(police) de Sécurité Locale - > la Politique Locale - > des Options de Sécurité. Assurez-vous le suivant deux politique permettent :

Accès de Réseau : ne permettez pas l'énumération anonyme de comptes de SAM : Permis

Accès de Réseau : ne permettez pas l'énumération anonyme de comptes de SAM et des parts : Permis

Fenêtres 2000

Allez à - > Outils Administratifs - > Fixations de Sécurité Locales - > Politique Locale - > Options de Sécurité

Choisissez "les restrictions Complémentaires de rapports(connexions) anonymes" dans le carreau de Politique(police) à droit

De la traction en bas le menu étiqueté "l'arrangement(mise) de politique(police) Local", choisir
"Aucun accès sans permissions explicites anonymes"

Clic BIEN

Réamorcez pour faire les changements entrer en vigueur.

Windows NT 4.0 (Paquet de Service 3 ou plus tard)

Mettez la Clef d'Enregistrement Suivante :

HKLM/System/CurrentControlSet/Control/LSA/RestrictAnonymous=1

Samba

Selon le poste suivant (http://samba.cadcamlab.org/lists/samba-technical/Apr2002/00358.html) la Samba manipule des demandes de Session Nulles en dressant la carte d'un nul username et le mot de passe au compte d'invité. Ainsi en mettant hors de service le compte d'invité UNIX vous pouvez censément mettre hors de service des Sessions Nulles dans la Samba. Nous n'avons pas évalué cela à partir d'encore et serions intéressés par n'importe quelles réactions ou expériences que vous pourriez fournir.

V. Nouveau Potentiel de défense

Tandis que le susdit décrit comment mettre hors de service cette vulnérabilité sur l'hôte, il y a quelques choses que vous pouvez faire sur le réseau pour aider défendre contre des Sessions Nulles.

Blocage NetBIOS ports sur votre coupe-feu(firewall) ou routeur de frontière

Le blocage des ports suivants empêchera contre des Sessions Nulles (Et d'autres attaques qui emploient NetBIOS) :

135 TCP DCE/RPC Portmapper
137 TCP/UDP NetBIOS Service de Nom
138 TCP/UDP NetBIOS Service de Datagramme
139 TCP NetBIOS Service de Session
445 TCP Microsoft-DS (Fenêtres 2000 CIFS/SMB)

Détection d'Intrusion

La plupart des systèmes de Détection d'Intrusion viennent avec des signatures pour détecter l'activité de Session Nulle, bien que quand diriger sur "l'intérieur" de votre réseau produisent des aspects positifs faux si non configuré correctement. Configurant le Reniflement la règle(autorité) de détection de Session (http://www.snort.org/) Nulle (http://www.snort.org/snort-db/sid.html?id=530) Pour regarder le certain trafic s'avère être très efficace. Par exemple, vous pouvez seulement vouloir regarder des tentatives de Session Nulles de l'Internet à votre réseau interne et les règles d'IDS peuvent être configurées en conséquence.

Politique(police) de Compte

Toutes les versions des Fenêtres qui sont vulnérables à cette attaque fournissent quelque mécanisme pour mettre la politique de compte. Le Centre pour la Sécurité d'Internet a sorti des standards d'évaluation de performance pour toutes les deux Fenêtres 2000 et le Windows NT qui inclut la politique de compte recommandée (Voir http://www.cisecurity.org/ pour plus de détails et télécharger les points de référence). Ils couvrent l'expiration de mot de passe, la longueur de mot de passe et la politique de lock-out de compte, qui doit tout être appliquée à votre domaine (ou le poste de travail si vous ne faites pas partie d'un domaine). Ces documents décrivent aussi quelques recommandations pour la politique d'audit, ou l'enregistrement(exploitation des bois) de certaine activité sur votre ordinateur. Vous devez permettre l'enregistrement(exploitation des bois) d'événements de sécurité sur vos serveurs de fenêtres et postes de travail pour des buts de comptabilité. Le compte et la politique d'audit doivent être façonnés aux besoins d'organisations individuels. L'ayant de ceux en place diminuera significativement le risque de quelqu'un employant des Sessions Nulles pour gagner l'accès à votre machine.

VI. Références et Plus loin lecture
Livres :
"Hachage d'Exposé" ou "Hachage de Fenêtres 2000 Exposé", Scambray et McClure, Chapitre 4 : Énumération

Sites du Web :
http://rr.sans.org/win/null.php - "Sessions NULLES Dans NT/2000"
http://www.softheap.com/security/session-access.html - "Comment l'information est-elle énumérée par l'accès de session NUL, des Appels de Procédure Éloignés et IPC$ ?"
http://www.sygate.com/alerts/Netbios_Null_Attack.htm - "NetBIOS Attaque de Session NULLE dans XP"
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/winxppro/proddocs/windows_security_differences.asp - différences Importantes entre Windows NT 4.0 et Fenêtres XP Professionnel
http://www.nardware.co.uk/Security/NetBIOS/NetBIOSscan2.htm - "Secrets de Sécurité de Fenêtres"
http://www.softheap.com/security/session-access.html - "Comment l'information est-elle énumérée par l'accès de session NUL, des Appels de Procédure Éloignés et IPC$ ?"
http://secinf.net/info/nt/wardoc.txt - "LE WINDOWS NT WARDOC : UNE ÉTUDE DANS PÉNÉTRATION ÉLOIGNÉE NT, PAR NEONSURGE ET L'ÉQUIPE RHINO9"
http://www.sans.org/top20/#W5 - SANS/FBI Sommet 20 Liste, Fenêtres NetBIOS vulnérabilité de Sessions Nulle
http://rr.sans.org/firewall/blocking_ipchains.php - "Sommet Dix Recommandations de Blocage Employant ipchains"
http://www.snort.org/ports.html - base de données de Ports

D'autres Descriptions d'Universités de Sessions NetBIOS Nulles :
http://www.cit.cornell.edu/computer/security/scanning/windows/nullsessions.html
http://netsecurity.rutgers.edu/null_sessions.htm
http://security.uchicago.edu/windows/netbios/index.shtml

--------------------------------------------------------------------------------

Cette page dernier mis à jour le 3 janvier 2003