Null Attaques de session et comment les éviter - mannequins

Une vulnérabilité bien connue dans Windows peut mapper une connexion anonyme (ou null session) vers un partage caché appelé IPC $ (qui signifie communication interprocessus). Cette méthode de piratage peut être utilisée pour

• Rassembler les informations de configuration de l'hôte Windows, telles que les ID utilisateur et les noms de partage.

• Modifier les parties du registre de l'ordinateur distant.

Bien que Windows Server 2008, Windows XP, Windows 7 et Windows 8 n'autorisent pas les connexions de session nulles par défaut, Windows 2000 Server le fait - et (malheureusement) beaucoup de ces systèmes sont encore là pour causer des problèmes sur la plupart des réseaux.

Mapper une session vide

Procédez comme suit pour chaque ordinateur Windows sur lequel vous souhaitez mapper une session nulle:

1. Formatez la commande net basic, comme ceci:

   net use host_name_or_IP_addressipc $ "" / user: "
   

   La commande net pour mapper des sessions nulles nécessite ces paramètres:

   • net suivi de la commande use

   • L'adresse IP ou le nom d'hôte du système auquel vous voulez mapper connexion nulle

   • Mot de passe vide et nom d'utilisateur

2. Appuyez sur Entrée pour établir la connexion

   Après avoir mappé la session nulle, vous devriez voir le message La commande s'est terminée avec succès.

   

Pour confirmer que les sessions sont mappées, entrez cette commande à l'invite de commande:

net use

Vous devez voir les correspondances au partage IPC $ sur chaque ordinateur auquel vous êtes connecté. >

Glean information

Avec une connexion de session nulle, vous pouvez utiliser d'autres utilitaires pour collecter à distance des informations critiques sur Windows: des dizaines d'outils peuvent rassembler ce type d'informations. Vous - comme un pirate - pouvez prendre la sortie de ces programmes d'énumération et tenter de

Cracker les mots de passe des utilisateurs trouvés.

Mapper les lecteurs sur les partages réseau.

• Vous pouvez utiliser les applications suivantes pour l'énumération du système sur les versions serveur de Windows antérieures à Server 2003 et Windows XP.

• net view

La commande net view affiche les partages disponibles pour l'hôte Windows. Vous pouvez utiliser la sortie de ce programme pour afficher les informations que le serveur publie sur le monde et ce qui peut être fait avec, notamment:

Partager des informations qu'un pirate peut utiliser pour attaquer vos systèmes, telles que le mappage des lecteurs et craquer les mots de passe de partage.

Autorisations de partage pouvant devoir être supprimées, telles que l'autorisation pour le groupe Tout le monde, pour voir au moins le partage sur les systèmes Windows 2000 plus anciens.

• Configuration et informations utilisateur

• Winfo et DumpSec peuvent rassembler des informations utiles sur les utilisateurs et les configurations, tels que

  

Domaine Windows auquel appartient le système

Paramètres de stratégie de sécurité

• Noms d'utilisateurs locaux

• Votre préférence peut dépendre de si vous aimez les interfaces graphiques ou une ligne de commande.Winfo est un outil de ligne de commande. Ce qui suit est une version abrégée de la sortie Winfo d'un serveur Windows NT, mais vous pouvez recueillir les mêmes informations à partir d'autres systèmes Windows:

• Winfo 2. 0 - copyright (c) 1999-2003, Arne Vidstrom - // www. ntsecurity. INFORMATIONS SYSTÈME: - Version du système d'exploitation: 4. 0 POLITIQUE DE MOT DE PASSE: - Temps entre la fin de l'ouverture de session et la fermeture de session forcée: Fermeture de session forcée - Âge de mot de passe maximum: 42 jours longueur: 0 mots de passe - Longueur minimale du mot de passe: 0 caractères COMPTES D'UTILISATEUR: * Administrateur (Ce compte est le compte administrateur intégré) * doctorx * Invité (Ce compte est le compte Invité intégré) * IUSR_WINNT * kbeaver * nikki SHARES: * ADMIN $ - Type: Partage spécial réservé pour IPC ou partage administratif * IPC $ - Type: Inconnu * Here2Bhacked - Type: Lecteur de disque * C $ - Type: Partage spécial réservé pour IPC ou partage administratif * Finance - Type: Lecteur de disque * HR - Type: lecteur de disque

Cette information ne peut pas être obtenue à partir d'une installation par défaut de Windows Server 2003, Windows XP, Windows 7 ou Windows 8.

Vous pouvez consulter la sortie de ces outils pour les ID utilisateur t sur votre système, par exemple

Comptes d'anciens employés qui n'ont pas été désactivés

Comptes de porte dérobée potentiels qu'un hacker a pu créer

• NetUsers

• L'outil NetUsers peut indiquer qui s'est connecté à un ordinateur Windows distant. Vous pouvez voir des informations telles que

Privilèges de compte non utilisés

Utilisateurs actuellement connectés au système

• Ces informations peuvent vous aider à effectuer le suivi, à des fins d'audit, de la connexion à un système. Malheureusement, cette information peut être utile pour les pirates informatiques lorsqu'ils essaient de déterminer quels identifiants sont disponibles.

• Contre-mesures contre les hacks de session nuls

  

Si le bon fonctionnement est logique et que le timing est correct, effectuez une mise à niveau vers Windows Server 2012 ou Windows 7. Ils ne présentent pas les vulnérabilités décrites dans la liste suivante.

Vous pouvez facilement empêcher les hacks de connexion de session nuls en implémentant une ou plusieurs des mesures de sécurité suivantes:

Bloquer NetBIOS sur votre serveur Windows en empêchant ces ports TCP de traverser votre pare-feu réseau ou votre pare-feu personnel:

139 (Services de sessions NetBIOS)

• 445 (exécute SMB sur TCP / IP sans NetBIOS)

  • Désactivez le partage de fichiers et d'imprimantes pour les réseaux Microsoft dans l'onglet Propriétés de la connexion réseau de l'ordinateur pour les systèmes qui n'en ont pas besoin.

  • Restreindre les connexions anonymes au système. Pour les systèmes Windows NT et Windows 2000, vous pouvez définir HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous sur une valeur DWORD comme suit:

• None:

• Ceci est le paramètre par défaut.

  • S'appuyer sur les autorisations par défaut (paramètre 0):

  • Ce paramètre autorise les connexions de session nulles par défaut. Ne pas autoriser l'énumération des comptes et des partages SAM (paramètre 1): Il s'agit du paramètre de niveau de sécurité moyen. Ce paramètre permet toujours de mapper des sessions nulles vers IPC $, permettant à des outils tels que Walksam d'obtenir des informations du système.

  • Pas d'accès sans autorisations anonymes explicites (paramètre 2): Ce paramètre de haute sécurité empêche les connexions de session nulles et l'énumération du système.

  • L'article 246261 de la Base de connaissances Microsoft traite des restrictions relatives à l'utilisation du paramètre de sécurité élevé pour RestrictAnonymous. Il est disponible sur le Web à l'adresse // support. Microsoft. com / default. aspx? scid = KB; en-nous; 246261.