vulnerabilidades críticas em sistemas Windows

A maioria das vulnerabilidades críticas em sistemas Windows (W)
W1 – Unicode Vulnerabilidade (Salto servidores de diretório da Web – Web Server Folder Traversal)
W1.1 Descrição:
Unicode fornece um número único para cada personagem, não importa qual a plataforma, o que o programa ou o que a linguagem. O padrão Unicode foi adotado pela maioria dos fabricantes, incluindo a Microsoft. Ao enviar um servidor IIS sequências URL cuidadosamente inválida de Unicode UTF-8, um invasor pode forçar o servidor, literalmente, dentro e fora de qualquer pasta e executar comandos arbitrários. Este tipo de ataque é conhecido como ataque de diretório transversal (Directory Traversal Attack)
equivalentes em Unicode de / e \ são% 2c e 5c%, respectivamente. Enfim, você pode também representar estes caracteres usando seqüências de grandes dimensões (“a excessiva”). Essas seqüências são as representações inválidas de Unicode que são mais longos do que realmente necessário para representar o personagem. Tanto / como \ podem ser representados por um único byte. Representação “a excessiva”, por exemplo% c0% af representa o caracter / usando dois bytes. O IIS não foi escrito ou desenhado por um segurança de seleção seqüências de grandes dimensões. Por este motivo, se você enviar uma seqüência de caracteres Unicode em uma URL outsized evitar os controlos de segurança da Microsoft. Se o pedido for feito a um diretório marcado executável, o atacante pode executar arquivos executáveis no servidor. Você pode encontrar informações adicionais sobre a ameaça do Unicode:

http://www.wiretrip.net/rfp/p/doc.asp?id=57&face=2
W1.2 Sistemas afetados:
Microsoft Windows NT 4.0 com IIS 4.0 e Windows 2000 Server com IIS 5.0 sem o “Service Pack 2 instalado.
Registros CVE W1.3:
CVE-2000-0884
W1.4 Como determinar se seus sistemas estão vulneráveis:
Se você estiver executando uma versão não corrigida do IIS, ele é provavelmente mais vulneráveis. A melhor maneira de saber se é utilizar a ferramenta hfnetchk vulneráveis. Hfnetchk é uma ferramenta desenhada para permitir aos administradores para verificar como muitos patches ainda para instalar um ou mais sistemas de rede. A vulnerabilidade de passagem de diretório foi fixado arquivos Unicode com a seguinte nota:

• Q269862 – MS00-057
• Q269862 – MS00-078
• Q277873 – MS00-086
• Q293826 – MS01-026
• Q301625 – MS01-044
• Windows 2000 Service Pack 2
Se nenhum desses patches estão instalados, o sistema é vulnerável a esse problema.
Para uma verificação mais específica, testar a vulnerabilidade em seu próprio sistema para ver se ele consegue. Tente digitar o seguinte comando no seu servidor IIS:

2Bdir% 2BC% http://victima/winnt/system32/cmd.exe?/c:% 5C% 20
Essa URL pode precisar de algumas modificações para testar um sistema em particular. Se você removeu o diretório de scripts (que é recomendado), este comando irá falhar. Você pode tentar criar em seu lugar um diretório temporário que tenha permissões de execução ou usar qualquer outro diretório que contém as licenças para a execução. Por exemplo, você pode ter removido o diretório de scripts, mas ainda tenho um diretório chamado cgi-bin no local. Verifique o seu sistema usando o diretório cgi-bin em vez de scripts.
Se o sistema é vulnerável, esta URL irá gerar um salto para trás na estrutura de diretórios do seu disco mostrando uma lista de unidade C: no servidor. É, essencialmente, explorando o veredicto contra o mesmo servidor como se fosse um atacante. A única diferença é que você tenha enviado um comando que não é realmente efeito nocivo sobre o sistema, quando na verdade, um atacante pode causar danos significativos ou criar um backdoor nele.
W1.6 Como tornar o proteger a si mesmo:
Para defender-se contra este problema deve instalar os patches mais recentes da Microsoft. Para obter mais informações sobre como obter estas actualizações, ir para o Microsoft Security Bulletin, no seguinte endereço:
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
Tanto a ferramenta “IIS Lockdown” e “URL Scan” vai proteger contra esta vulnerabilidade. A ferramenta “IIS Lockdown” é concebida para ajudar os administradores a configurar o servidor IIS e está disponível em:
http://www.microsoft.com/technet/security/tools/locktool.asp
O URLScan é um filtro que é responsável pelo escoamento de muitos pedidos HTTP. Por exemplo, pode ser usado para filtrar pedidos que contenham caracteres codificados com UTF8. A ferramenta URLScan está disponível em:
http://www.microsoft.com/technet/security/URLScan.asp

GOSTOU DEIXE UM COMENTÁRIO