Статья только в электронной версии журнала
Брешь в защите NT Server 4 способна “потопить” вашу систему
Скотт Беринато
В NT Server 4.0 корпорации Microsoft есть уязвимое место, из-за которого данные на сервере компании или рабочей группы могут быть изменены хакерами.
Этой “дырой” может воспользоваться любой злоумышленник, сумевший написать небольшое приложение, обращающееся к функциям интерфейсов прикладного программирования (API) корпорации Microsoft. По данным Тестового центра PC Week Labs, программист, знающий IP-адрес сервера и обратившись к такому API, может подключиться к серверу и получить данные о структуре каталогов и правах доступа пользователей и, возможно, даже перезаписать их.
Подобному риску подвержены только NT-серверы, сконфигурированные по умолчанию и не имеющие дополнительных защитных систем. На практике такая конфигурация встречается довольно редко, обычно в тех случах когда пользователей не волнуют вопросы безопасности или они технологически безграмотны. Любой толковый администратор может предотвратить потенциальную опасность, приняв простые меры предосторожности.
Виталий Шкляр, разработчик ПО из фирмы Imaginet Design Solutions (Холливуд, шт. Флорида) в декабре опубликовал Web-страницу с двумя приложениями Microsoft Active Server Page, с помощью которого можно проникнуть на любой узел, использующий базовую конфигурацию NT без брандмауэра. Всякий, кто знает IP-адрес сервера, сумеет с их помощью узнать названия рабочих групп, а затем и имена пользователей сервера.
Далее используя API более низкого уровня, можно получить доступ на чтение и запись к реестру и папкам выбранного ПК, если он сконфигурирован по умолчанию.
На просуществовавшей недолгое время странице Шкляра был также опубликован список из 10 компаний, которые оказались уязвимыми перед таким способом проникновения. В качестве доказательства Web-страница Шкляра содержала ссылки на внутреннюю информацию этих компаний, добытую хакерским методом.
В своем недавнем сообщении, разосланном по электронной почте, Шкляр иронически замечает: “Похоже администраторы уверены, что конфигурация по умолчанию обеспечивает высшую безопасность и беззаботную жизнь для них самих”.
Однако Каран Ханна, главный менеджер Microsoft по безопасности Windows NT, заявил, что придуманный Шкляром метод не является серьезной проблемой. Скорее всего, утверждает Ханна, Шкляр воспользовался собственным API Microsoft базового уровня под названием NetQueryDisplay Information.
“Несуществующая проблема”
“Давайте разберемся, - предлагает Ханна. - Мы всегда рекомендуем пользователям при конфигурировании сервера соответствующим образом его заблокировать и организовать контролируемый доступ к его ресурсам. В данном случае соответствующие порты были незаблокированы, а контроль за правами доступа не установлен. Мы даем пользователям точные предписания как заблокировать систему. Если все сделано правильно, то проблема никогда не возникнет”.
Ханна также замечает, что API не дает права записи какой-либо информации на сервер, однако позволяет ее читать.
По словам анонимного пользователя небольшой сети на базе Windows NT из Колорадо, неважно как классифицировать эту проблему - вопрос API, брешь в защите или дефект ПО - в любом случае она существует.
“Даже если такая возможность заложена в систему разработчиками, для меня это дыра в защите, и я должен знать о ее существовании, - настаивает этот пользователь. - Допустим, я унаследовал серверы от своего предшественника и не знаю как они сконфигурированы, по умолчанию или нет. А поскольку мое начальство не особо разбирается в вопросах защиты, у нас нет брандмауэра. Может быть, шум вокруг возникшей проблемы изменит его отношение”.
Официальные лица Microsoft, которые явно не знали о том, что есть возможность написать подобное приложение, заявили, что последняя версия Service Pack for NT позволяет автоматизировать процедуру блокировки сервера и тем самым предотвратить несанкционированный доступ к информации о его каталогах.
По словам Ханна, в Service Pack 4 имеется редактор конфигурации защиты, позволяющий автоматически заблокировать NT Server.