Введение

Скачать утилиту

Регистрация в локальной сети имени, зарезервированного за специальной службой, может позволить злоумышленнику перехватывать трафик от других пользователей данной сети и организовать атаку типа «человек-посередине». В случае успешной атаки злоумышленник получает возможность анализировать весь Интернет-трафик жертвы, который может содержать конфиденциальные данные, например, пароли на доступ к ресурсам, номера кредитных карт, личную переписку и т.д.
Существует несколько способов регистрации имени в сети:
1) Регистрация на сервере имен DNS или WINS;
2) Выход в сетьс определенным NetBIOS-именем.

В данном обзоре рассматриваются имена WPAD и ISATAP. Эти имена используются в одноименных протоколах:

• WPAD (Web Proxy Auto Discovery) – протокол, позволяющий Web-клиентам автоматически определять местоположение файла настроек браузера для работы через прокси-сервер. Опасность данного протокола обусловлена его использованием в большом числе конфигураций «по умолчанию». Атакам с использованием протокола WPAD посвящена отдельная статья;
• ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) - протокол туннелирования пакетов IPv6 в пакетах IPv4, используемый для связи сегментов сети IPv6 через сегмент IPv4.

Уязвимости

В марте 2009 года Microsoftвыпустила обновление для DNS- и WINS-серверов, позволяющее предотвратить ряд атак с использованием специализированных имен, однако как показано в статьеустановка исправлений не устраняет всех проблем с безопасностью в сети.

1. Уязвимость регистрации потенциально опасных записей в DNS-сервере

Уязвимость, которая позволяет проводить атаки типа "человек посередине", существует в DNS-серверах, когда используется динамическое обновление, и ISATAP и WPAD не зарегистрированы в DNS. Данная уязвимость позволяет атакующему, действующему удаленно, подменить web-прокси, что приведет к тому, что Интернет-трафик будет перенаправлен на адрес, выбранный злоумышленником.

2. Уязвимость регистрации потенциально опасных записей в WINS-сервере

Уязвимость, которая позволяет проводить атаки типа "человек посередине", существует в WINS-серверах. Данная уязвимость позволяет атакующему, действующему удаленно, подменить web-прокси, что приведет к тому, что Интернет-трафик будет перенаправлен на адрес, выбранный злоумышленником.

На WINS-сервере могут быть зарегистрированы потенциально опасные записи.

Утилита

Компания Positive Technologies выпустила утилиту для выявления потенциально опасных записей в базе DNS- и WINS-служб. Утилита также позволяет сканировать доступную локальную сеть на предмет существования хостов с вышеуказанными NetBIOS-именами.

Периодическое использование утилиты позволит системным администраторам, а также администраторам по безопасности контролировать использование потенциально опасных записей в серверах имен и присутствие в сети узлов с опасными NetBIOS-именами.

Состав проверок и рекомендации по устранению уязвимостей

Проверки WINS-сервера

1. Проверка наличия на WINS-сервере потенциально опасных записей (WPAD; WPAD.; ISATAP).

При обнаружении потенциально опасных записей проверьте, каким сетевым узлам принадлежат данные имена, или установите обновление MS09-008.

2. Проверка возможности регистрации на WINS-сервере потенциально опасных записей (WPAD; WPAD.; ISATAP). В данном случае проверяется не столько возможность регистрации, сколько регистрация и возможность последующего разрешения (resolving) имени.

При выявлении данной уязвимости зарегистрируйте статические записи для потенциально опасных имен или установите обновление MS09-008.

Проверки DNS-сервера

Для корректной работы данных проверок требуется ввести имя анализируемой DNS-зоны.

1. Проверка возможности динамического обновления DNS-зоны

Рекомендуется разрешать динамические обновления только от аутентифицированных узлов. Если динамические обновления зоны в сети не используются, то отключите их.

2. Проверка наличия в данной DNS-зоне потенциально опасных записей (wpad, isatap).

При обнаружении потенциально опасных записей проверьте, каким сетевым узлам принадлежат данные имена, или установите обновление MS09-008.

3. Проверка возможности регистрации в данной DNS-зоне потенциально опасных записей (wpad, isatap). Как и в случае с WINS, проверяется возможность успешного разрешения (resolving) имени после регистрации.

При выявлении данной уязвимости зарегистрируйте статические записи для потенциально опасных имен или установите обновление MS09-008.

Проверка доступной подсети

Утилита получает IP-адреса всех адаптеров, установленных на данном хосте, затем рассылает широковещательный NetBIOS-запрос c целью получить IP-адреса компьютеров, имеющих потенциально опасные NetBIOS-имена. Потенциально опасными NetBIOS- именами считаются WPAD, WPAD. и ISATAP.

При обнаружении потенциально опасного имени в сети необходимо проанализировать владельца данного узла и, при необходимости, принять меры.

Примечания:

• Распознавание DNS- и WINS-сервисов в утилите не задействовано, поэтому сканирование узлов, не содержащих этих служб, практической ценности не имеет.
• Для работы утилиты требуется .NET Framework.

Скачать утилиту

Ссылки

1. Статья Сергея Рублева, посвященная слабым сторонам технологии WPAD:
   http://www.securitylab.ru/analytics/379619.php
2. Множественные уязвимости в DNS и WINS в Microsoft Windows:
   http://www.securitylab.ru/vulnerability/369851.php
3. Уязвимость регистрации WPAD (Microsoft Security Bulletin)
   http://www.microsoft.com/technet/security/Bulletin/MS09-008.mspx
4. Описание WPAD на Википедии
   http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
5. Динамические обновления DNS-зон в Windows 2003 Server
   http://support.microsoft.com/kb/816592
6. Порядок разрешения имен
   http://ru.tech-faq.com/understanding-netbios-name-resolution.shtml
7. Изменения в работе WINS-сервера после установки обновления
   http://support.microsoft.com/kb/968731
8. Описание ISATAP на википедии
   http://en.wikipedia.org/wiki/ISATAP
9. Обеспечение безопасности DNS для Windows
   http://www.oszone.net/5692/DNS_Windows

По материалам: www.securitylab.ru