информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Где водятся OGRыВсе любят медЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Google прикрыл domain fronting 
 Opera VPN закрывается 
 13 уязвимостей в процессорах AMD 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2004 / сентябрь
2004
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость




The Bat!

Серьезная уязвимость в стандартной конфигурации XP SP2?
dl // 18.09.04 16:16
В статье из PC Welt заявляется о наличии серьезной конфигурационной ошибке в XP SP2, приводящей ко всеобщей доступности разделенных ресурсов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/09/19.html]

Ход рассуждений следующий. Начиная с XP SP1, галочка в настройках сетевых адаптеров (или, по крайней мере, для dialup и ADSL-соединений), отвечающая за привязку File and Printer Sharing for Microsoft Networks, приобрела косметический характер, и данная служба продолжает работать даже при ее отключении. В SP1 это не вызывало проблем, поскольку по умолчанию у каждого dialup-соединения был включен файрволл, блокирующий доступ к этой службе извне - оставляя его разрешенным для соединений по локальной сети. В SP2 настройки нового файрволла стали общими, причем настройки, связанные с разделяемыми файлами/принтерами, при установке SP2 просто наследуются из старых настроек локальной сети.

Т.е. получается, что после установки SP2 все ресурсы, разделенные для использования в локальной сети, оказываются доступными и для всего мира, после чего взломщику остается только подобрать пароль, который зачастую оказывается пустым. Далее в статье описывается, как в настройках нового файрволла блокировать внешний доступ, причем попутно обнаруживается еще один баг - при отключенном Internet Connection Sharing дефолтовая опция "Only for own network (Subnet)" просто не работает - вернее, работает, но "своей" сетью считается все подряд (факт, описанный в Technet: My network (subnet) only: "In some Internet configurations, all destinations are considered directly reachable... To reduce the vulnerability of this Internet-connected computer from other computers on the cable modem's subnet, do not use the My network (subnet) only scope option.").

Честно говоря, во всем описанном меня не устраивает всего лишь один момент - я никогда не слышал о том, что начиная с SP1 перестало работать управление привязкой File and Printer Sharing. Сейчас специально проверил - на сетевом адаптере все прекрасно отключается и блокируется, и не очень понятно, с чего бы dialup-соединениям работать по иному. Впрочем, поправьте меня, если я не прав.

Кстати замечу, что без всяких игр с файрволлом закрыть доступ к разделяемым ресурсам извне можно с помощью запрета NetBIOS over TCP/IP (настройки адаптера -> Internet Protocol (TCP/IP) -> Properties -> Advanced -> WINS -> Disable NetBIOS over TCP/IP).

P.S. За ссылки спасибо Сергею Никифорову.

Источник: PC Welt      
теги: microsoft, xp  |  предложить новость  |  обсудить  |  все отзывы (16) [12873]
назад «  » вперед

аналогичные материалы
MS отозвала патч 17-летней уязвимости // 12.02.10 13:27
Windows 7 RC в открытом доступе // 05.05.09 10:42
Linux добрался до 1% систем // 01.05.09 22:06
Бета-версия Virtual PC for Windows 7 // 30.04.09 13:08
Windows 7 будет включать виртуальную XP // 25.04.09 18:28
Неопасная серьезная уязвимость Висты // 24.11.08 23:25
MS исправила уязвимость семилетней давности // 14.11.08 15:22
 
последние новости
Google прикрыл domain fronting // 19.04.18 20:39
Opera VPN закрывается // 15.04.18 18:54
13 уязвимостей в процессорах AMD // 13.03.18 21:48
McAfee прикупила TunnelBear // 08.03.18 19:54
Летом Chrome начнет помечать сайты без https как небезопасные, владельцам сертификатов Symantec приготовиться // 09.02.18 01:41
Умер основатель EFF // 08.02.18 02:54
40 лет Алисе и Бобу // 01.02.18 01:31

Комментарии:

не нужно зря панику наводить. 22.09.04 11:03  
Автор: defined Статус: Незарегистрированный пользователь
<"чистая" ссылка>
удалите моё прошлое письмо, ответ не вписал.

> Серьезная уязвимость в стандартной конфигурации XP SP2?
> PC Welt http://www.pcwelt.de/know-how/extras/103039/
>
> Ход рассуждений следующий. Начиная с XP SP1, галочка в
> настройках сетевых адаптеров (или, по крайней мере, для
> dialup и ADSL-соединений), отвечающая за привязку File and
> Printer Sharing for Microsoft Networks, приобрела
> косметический характер, и данная служба продолжает работать
> даже при ее отключении.

Ребят, вы сами-то пробовали что тут описано ? Т.е. просто сделать net view своего компа из сетки с включенной галкой и без нее. Проверяем: берем win'xp SP2 (eng, corp), отключаем файрвол, WINS -> NetBIOS через TCP/IP включен (проверяем это через netstat -a -n), ставим галку file and print sharing, с другого компа (в данном случае пробовал на w2k srv SP4 + все post SP4 fix) делаем net view \\192.168.1.1 (192.168.1.1 - комп с win'xp SP2), имеем:
===
Системная ошибка 5.

Отказано в доступе.
===
_убираем_ галку " file and print sharing на win'xp, опять net view компа с win'xp с w2k srv, получаем:
===
Системная ошибка 53.

Не найден сетевой путь.
===
Для проверки сноваставимгалку и наблюдаем уже "отказано в доступе".
И кто сказал что галка косметическая ? Вобщем всё нормально, не нужно зря панику наводить.
тексты бывает полезно читать целиком 22.09.04 12:17  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
замечание понял, чтобы не возникло вопросов, что я сообщил... 22.09.04 17:11  
Автор: defined Статус: Незарегистрированный пользователь
<"чистая" ссылка>
замечание понял, чтобы не возникло вопросов, что я сообщил то что было изначально сказано (в прошлом письме так детально привел чтобы вопросов не осталось что "а может быть ты не так проверил": проверил на dialup'е - всё нормально отключается и доступ невозможен по диалапу к file and print... по крайней мере с того сервера (подключался к RRAS серверу на базе w2k srv через модем и с w2k пробовал пробиться на тот win'xp SP2 c которого звонил) куда дозванивался пробильная на компьютер откуда дозванивался не получилось.
я, собственно, о последних двух абзацах 22.09.04 19:24  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
...в которых написал ровно то же самое - что мне до сих пор был неизвестен факт прекращения работы привязки File and Printer Sharing, и что первая же проверка в локалке его не подтвердила. Но поскольку уважаемый журнал сообщает о нем, приводя подтверждающие сообщения своих читателей, а заодно и упоминает подтвержденную плюху с "Only for own network (Subnet)", я привел их рассуждения, снабдив их своим комментарием. Кстати, маловероятно, но возможно, что это известный баг в немецкой версии - кто их знает.
Кроме, нетбиоса овер тсп, можно и службу "сервер"... 20.09.04 04:50  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> Серьезная уязвимость в стандартной конфигурации XP SP2?
> PC Welt http://www.pcwelt.de/know-how/extras/103039/
>
>
> В статье из PC Welt заявляется о наличии серьезной
> конфигурационной ошибке в XP SP2, приводящей ко всеобщей
> доступности разделенных ресурсов.

> Ход рассуждений следующий. Начиная с XP SP1, галочка в
> настройках сетевых адаптеров (или, по крайней мере, для
> dialup и ADSL-соединений), отвечающая за привязку File and
> Printer Sharing for Microsoft Networks, приобрела
> косметический характер, и данная служба продолжает работать
> даже при ее отключении. В SP1 это не вызывало проблем,
> поскольку по умолчанию у каждого dialup-соединения был
> включен файрволл, блокирующий доступ к этой службе извне -
> оставляя его разрешенным для соединений по локальной сети.
> В SP2 настройки нового файрволла стали общими, причем
> настройки, связанные с разделяемыми файлами/принтерами, при
> установке SP2 просто наследуются из старых настроек
> локальной сети.

> Т.е. получается, что после установки SP2 все ресурсы,
> разделенные для использования...
Кроме, нетбиоса овер тсп, можно и службу "сервер" отключить.
Это чревато... Проще всё-таки отвязать её от интерфейса, всё работает... 20.09.04 09:57  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
> > Начиная с XP SP1, галочка в
> > настройках сетевых адаптеров (или, по крайней мере,
> > для dialup и ADSL-соединений), отвечающая за привязку File
> > and Printer Sharing for Microsoft Networks, приобрела
> > косметический характер, и данная служба продолжает
> > работать даже при ее отключении.

Subj, @#$ня это всё, привязки работают отлично, автор что-то тупит...
А отключение службы сервера превращает компутер (по крайней мере 2k, XP) в уродца - половина работать не будет.
Про отключение сервера..... Например, что;)) Ты пробовал?... 21.09.04 00:30  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
>
> Subj, @#$ня это всё, привязки работают отлично, автор
> что-то тупит...
> А отключение службы сервера превращает компутер (по крайней
> мере 2k, XP) в уродца - половина работать не будет.

Про отключение сервера..... Например, что;)) Ты пробовал? Что не будет работать, например? ;))) Я , так большому числу юзверей такое обрезание делал. Ничего. Не жужжжат. ;))) Рабочка и есть рабочка.
RPC гонит... Browser (служба) не запустится... Там где рабочие группы будут проблемы. И ещй много чего. 21.09.04 12:43  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
По вашим постам видно, что Вы очень грамотный IT. Не скрою,... 23.09.04 00:34  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
По вашим постам видно, что Вы очень грамотный IT. Не скрою, я изучал некоторые вещи, подглядывая и в Ваши постинги. Но в данном случае Вы сильно ошибаетесь, если думаете, что браузинг сетевых нетбиос ресурсов - есть необходимая в реальной практике администрирования вещь. Напротив, это никогда не есть необходимость, при условии, что сетью управляет нормальный админ, не "андеграунд". Вы врядли сможете привести хотя бы один весомый аргумент, когда бы браузинг был необходим для решения практических задач совместной обработки данных в корпоративной сети.
Да нормально всё ;-) На вкус и цвет... Честно говоря, не было у меня ситуаций, когда действительно было необходимо отключать службу сервера. Лучше не нарушать тайное движение подводных камней от M$ ;-) 23.09.04 10:08  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
Гонит как раз не RPC... ;) 22.09.04 20:25  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Сам поотрубал на своей тачке все, что можно было отрубить без ущерба нормального функционирования. Моя рабочая станция (MS Windows 2k Server SP4) не разделяет никаких своих ресурсов с другими членами LAN.

Отрублены и не стартуют:
Automatic Update = manual
Computer Browser = disabled (не понимаю, для чего эта хрень нужна на рабочей станции?)
DHCP Client = disabled (адреса статические)
DNS Client = manual
Internet Connection Sharing = manual
Remote Access Auto Connection Manager = manual
Remote Registry Service = disabled
Server = disabled (естественно, чтобы нормально отключить эту службу, для начала требуется отвязать все протоколы от "File and Printer Sharing for Microsoft Network", она же "Server")
TCP/IP NetBIOS Helper Service = disabled (ко всему прочему отрубил кое что относящееся к NetBIOS в Hidden Devices)
WMI = manual
Windows Time = manual (меня и "net time" вполне устраивает)
Wireless Configuration = manual

Прекрасно работают:
Alerter
COM+ Event System
Print Spooler
RPC
System Event Notification
Workstation
и др.

При этом в event log'е все замечательно и никаких ошибок; нормальная печать на сетевой принтер, подключенный к другому компу (Win98se); инет через прокси пашет. Чего же боле?
Оговорюсь, что основной протокол в нашей сети - IPX и NetBIOS поверх него. Я прекрасно "вижу" сеть без всякого Computer Browser. Даже если NetBIOS был бы поверх TCP/IP, все равно я мог бы видеть состав рабочий группы и иметь возможность использовать разделяемые ресурсы без Computer Browser'а.
Вы правы. Только несколько замечаний... Вернее... 23.09.04 01:04  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Вы правы. Только несколько замечаний... Вернее комментариев.

> Computer Browser = disabled (не понимаю, для чего эта хрень
> нужна на рабочей станции?)
1) Это не совсем то, что Вы думаете. Эта служба не нужна рабочей станции для того, чтобы браузить (получать список имён нетбиос). Эта служба используется обозревателями ресурсов, равно как и главными обозревателями домена. Их задача - сформировать списки ресурсов. Рабочая же станция находит бродкастом один из обозревателей и получает от него список ресурсов. Впрочем, рабочая станция и сама может сформировать эти списки для себя. Бродкастом.
2) Второй, на мой взгляд, важный поинт - это (браузинг) никогда не надо в нормально отлаженной инф. системе - делать браузинг. Дело админов - нормально обеспечить юзверям доступ к разделяемым ресурсам.


> DHCP Client = disabled (адреса статические)
В вашем случае, вероятно, да. Но к сожалению DCHP Client имеет прямое отношение к возможности автоматической регистрации станнции в домене W2k. Простыми словами это означает, что если вы изменили адрес рабочки, где DHCP Client = disabled, то DNS на контроллере W2k никогда об этом не узнает. Придётся DNS руками подправлять. Не большое дело. Поэтому я всегда отключаю DHCP Client на клиентах, как и Вы. Хороший поинт - создать дополнительный GPO для domain root, в котором навернуть соответствующую политику. Я так делал. Это приведёт к тому, что эта служба будет отключена на уровне машинных политик на рабочке по загрузке.

> Internet Connection Sharing = manual
disable
> Remote Access Auto Connection Manager = manual
disable

> Remote Registry Service = disabled
Здесь надо быть осторожным, что бы не обрезать себе **ца. Но только для серверов...., где надо юзать mmc для управления, например, RRAS. Почему это так - не знаю. Вероятно просто идиотизм M$. Это просто из практики.

> При этом в event log'е все замечательно и никаких ошибок;
Ес.

> Оговорюсь, что основной протокол в нашей сети - IPX и
> NetBIOS поверх него. Я прекрасно "вижу" сеть без всякого
> Computer Browser.

Про Computer Browser я уже постил. Главными обозревателями домена, как правило, являются контроллеры домена. Впрочем это легко рихтуется в реестре. Вы видите всё, ибо рабочки получает по имена широковешательно (наличие ИП\ЭКС не отменяет бродкаста). Кстати Вы уверены, что одна из рабочих станций в Вашей ЛАН не является одним из обозревателей ( Browser )?

ПС. В отличие от "андеграунда" я почти не разбираюсь в этих вопросах. Поэтому простите, если что не так сказал.
printer huj zainstalirujesh bes server sluzhby 22.09.04 10:14  
Автор: guest Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Хью, не хью, but it's dependent on your tasks. Not offence,... 23.09.04 00:26  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Хью, не хью, but it's dependent on your tasks. Not offence, if U use a network printer connectet to another host. But ... U could use print-servers in your network. As I understand, this way is better.
Гонишь! 22.09.04 20:28  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Согласен с последними двумя абзацами 18.09.04 16:57  
Автор: varnav Статус: Незарегистрированный пользователь
<"чистая" ссылка>
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach