http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/utility-lokalnyx-atak/ http://www.microfinance.uz/utility-lokalnyx-atak/#comments Mon, 06 Oct 2008 06:36:52 +0000 admin http://www.microfinance.uz/utility-lokalnyx-atak/ Известная утилита, получения доступа к файловой системе Microsoft Windows NT — NTFS называется NTFSDOS. Думаем, что даже яростные противники Билла Гейтса согласятся, что с установленными соответствующими заплатами и исправлениями правильно сконфигурированная система Windows NT с корректно распределенными NTFS-правами и защищенным паролем администратора представляет из себя достаточно надежную систему. Но все это верно только до тех пор, пока у злоумышленника нет возможности произвести загрузку с дискеты (в данном случае операционной системы DOS) и запустить пресловутый драйвер файловой системы ntfsdos.exe. Другим вариантом может быть физическое похищение жесткого диска компьютера и перемещение его туда, где возможно произвести загрузку с другой операционной системы, также NT-подобной (где у злоумышленника уже есть соответствующие права) или другой операционной системы (аналог NTFSDOS существует и для Linux).
Когда утилита запущена, она сканирует разделы жестких дисков, имеющихся на компьютере, и ищет NTFS-драйвер. Найдя его, утилита делает раздел NTFS доступным операционной системе DOS как логический диск, игнорируя при этом права доступа, которые были определены в файловой системе NTFS. Свободно распространяемая версия делает раздел NTFS доступным только для чтения, однако коммерческие версии и аналоги позволяют иметь полный доступ к файлам NTFS. Дополнительные ограничения свободных версий могут быть на размер диска (до 4 Мбайт), поддержку чередования дисков, отображения времени создания/модификации файлов и др.
Другая программа GetAdmin.exe, использующая уязвимость операционной системы Windows NT, позволяет добавлять пользователя (если только он не работает под учетной записью guest) в группу локальных администраторов. Реализация атаки стала возможна, так как функция NtopenProcess (Получить доступ к процессу) не производила проверку соответствующих привилегий после изменения одного из флагов (NtGlobalFlag). При этом процесс winiogon с учетной записью System мог добавлять или удалять пользователя из группы администраторов. Используя эту программу, став локальным администратором, далее пользователь может производить любую перенастройку системы под свои интересы.
Программа взлома паролей Windows NT — LOphtcrack — использовала при атаке необходимость обратной совместимости различных версий аутенти-фикационных протоколов. Взлом стал возможным из-за того, что более старая версия протокола LANManager использовала откровенно уязвимый алгоритм шифрования (если быть более точным — хэширования) паролей. Таким образом, злоумышленникам не было необходимости работать с более сильным механизмом защиты NT — они использовали более слабый вариант, оставленный для поддержки аутентификации старых версий. Пароли LANManager не производят различия между регистрами (строчная и заглавная буква рассматривается как одна и та же), что существенно сокращает количество вариантов паролей. Кроме того, стандартный пароль NT длиной в 14 символов LANManager разбивает на два по 7. А это при наличии возможности проверять хэш половинок пароля независимо (именно так и происходит на самом деле) позволяет злоумышленнику перебирать 677+677(=243), а не 6714(=284) вариантов пароля.
Чтобы раскрыть пароли, на первом шаге программа использует хэш LANManager. LOphtCrack обрабатывает список слов, используя при этом тот же алгоритм, что и LANManager, и сравнивает полученное значение с оригиналом из базы данных паролей SAM (Security Accounts Manager). Если устанавливается соответствие, то пароль раскрыт. Если программа доходит до конца словаря, то она начинает просмотр словаря заново, добавляя понемногу символов в начало и конец каждого словарного слова, и т. д. Вычислив значение хэша LANManager, LOphtCrack получает пароль без различия регистра. Теперь программа хэширует все варианты написания пароля (с буквами в разных регистрах) и сравнивает хэш-значения с исходными хэш-значениями для NT.
Специальная утилита из пакета NT4-SP3 syskey обеспечивает дополнительную защиту, шифруя хэш-значения паролей из SAM. Однако поскольку в базе продолжают присутствовать и пароли для LANManager, программа может перенести акцент атаки на перехват пакетов с паролями, предназначенными для LANManager.

]]> http://www.microfinance.uz/utility-lokalnyx-atak/feed/ 0