The Twenty Most Critical Internet Security Vulnerabilities The Experts ConsensusVersion 5.0 October 8, 2004 Copyright (C) 2001-2004, SANS Institute Perguntas e comentrios podem ser enviados a top20@sans.org. ----- Ir ao Indice das Ameaas Top 20 -----

Introduo The SANS Top 20 Internet Security Vulnerabilities A grande maioria dos worms e outros ataques bem sucedidos possvel graas a vulnerabilidades em um pequeno nmero de servios mais comuns nos sistemas operacionais. Os atacantes informticos so oportunistas. Eles pegam os caminhos mais fceis e convenientes e exploram as falhas mais conhecidas com as ferramentas amplamente conhecidas. Eles contam que as organizaes no corrigem os problemas, e geralmente fazem um scanning indiscriminado por toda a internet, procurando sistemas vulnerveis. A disseminao fcil e destrutiva dos worms, como o Blaster, Slammer e Code Red, pode ser ligada diretamente explorao de vulnerabilidades no corrigidas. Quatro anos atrs, o SANS Institute, em conjunto com o National Infrastructure Protection Center (NIPC) e o FBI lanou um documento com um sumrio das 10 Vulnerabilidades Mais Criticas da Internet. Milhares de organizaes utilizaram aquela e as listas Top 20 que se seguiram nos anos seguintes, para priorizar seus esforos para que eles ento pudessem fechar primeiro as falhas mais perigosas. Os servios vulnerveis que levaram aos exemplos acima, Blaster, Slammer, e Code Red, assim como o worm NIMDA, esto naquela lista. Esta lista atualizada do SANS Top 20 na verdade duas listas Top 10: os 10 servios vulnerveis mais comuns no Windows e os 10 servios vulnerveis mais comuns explorados nos UNIX e Linux. Embora existam milhares de incidentes de segurana todos os anos que afetam esses sistemas operacionais, a grande maioria dos ataques visa um ou mais destes vinte servios vulnerveis. A lista Top 20 um consenso de uma lista de vulnerabilidades que exigem aes imediatas. Ela o resultado de um processo que juntou dezenas de especialistas em segurana lideres em suas reas. Eles vem das agencias federais mais preocupadas com questes de segurana, como US, UK e Singapura; de empresas lideres produtoras de software de segurana e de consultoras; de universidades com os melhores programas de segurana; muitas outras organizaes; e do SANS Institute. A lista dos participantes pode ser encontrada no final deste documento. A lista Top 20 do SANS um documento dinmico. Ela inclui instrues passo a passo e referencias a informaes adicionais que podem ser teis para a correo das falhas de segurana. Atualizaremos a lista e suas instrues medida que se identifiquem ameaas mais crticas e mtodos mais recentes ou apropriados de proteo, e agradecemos suas sugestes durante todo esse processo. Este um documento com o consenso da comunidade sua experincia em combater atacantes e eliminar

vulnerabilidades pode ajudar a outras pessoas. Por favor, envie suas sugestes por email a top20@sans.org

Notas para os LeitoresNumeros CVE Voc encontrar referncias aos nmeros CVE (Common Vulnerabilities and Exposures) que acompanham cada vulnerabilidade. Tambm poder encontrar nmeros CAN. Os nmeros CAN so candidatos a nmeros CVE que ainda no foram completamente verificados. Para maiores detalhes sobre o projeto premiado CVE, veja http://cve.mitre.org. Os nmeros CVE e CAN refletem as vulnerabilidades top que deveriam ser tratadas para cada item. Cada referencia de vulnerabilidade CVE tem um link com o registro de vulnerabilidade no servio de indexao de vulnerabilidades ICAT do National Institute of Standards and Technology (http://icat.nist.gov). O ICAT proporciona uma breve descrio de cada vulnerabilidade, uma lista de caractersticas de cada vulnerabilidade (como intervalo de ataque associado e dano potencial), uma lista dos nomes do software vulnervel e nmeros de verso, e links a vulnerability advisory e informao de patches. Portas a Bloquear no Firewall ---- Ir ao Indice das Portas Vulneraveis Mais Comuns ---Ao final do documento, voc encontrar uma seo extra que inclue uma lista das portas que so comumente sondadas e atacadas. Ao bloquear o trfego estas portas no firewall ou em outro dispositivo de proteo na rede de permetro, voc estar adicionando um nvel extra de defesa que ajudar a proteger dos erros e omisses de configurao. Note, no entanto, que usar um firewall ou roteador para bloquear trfego de rede direcionado a uma porta especfica no protege a essa porta de ataques de usurios internos ou de hackers que tenham penetrado na sua rede usando outros meios. Tambm muito mais segura a prtica de implementar a denegao ou bloqueio default para impedir todo trfego que no esteja explicitamente permitido nas configuraes de firewalls e roteadores, em lugar de bloquear portas especficas. back to top ^

Vulnerabilities Top nos Sistemas Windows W1 Servidores Web W2 O Servio Workstation W3 Servios de Acesso Remoto W4 Microsoft SQL Server (MSSQL) W5 Autenticao W6 Web Browsers W7 Programas de File-Sharing W8 Exposies do LSASS W9 Clientes de Email W10 Instant Messaging

Vulnerabilidades Top nos Sistemas UNIX U1 BIND Domain Name System U2 Servidores Web U3 Autenticao U4 Version Control Systems U5 Servios de Transporte de Email U6 Simple Network Management Protocol (SNMP) U7 Open Secure Sockets Layer (SSL) U8 Configuraes Errneas dos Servios NIS/NFS U9 Bancos de Dados U10 Kernel back to top ^

Vulnerabilidades Top nos Sistemas Windows (W)W1 Servidores Web W1.1 Descrio As instalaes default de vrios servidores HTTP e componentes adicionais para atender os requests HTTP bem como o streaming de mdia na Internet das plataformas Windows mostraram ser vulnerveis a vrios ataques ao longo do tempo. O impacto dessas vulnerabilidades podem incluir: Denial of Service Exposio ou compromisso de arquivos confidenciais ou dados Execuo de comandos arbitrrios no servidos Comprometer completamente o servidor

Os servidores HTTP como o IIS, Apache, e iPlanet (agora SunOne) tiveram muitos problemas que foram remendados com patches na medida em que foram sendo descobertos. Assegure-se que todos os patches esto atualizados para o servidor e que a verso mais recente a que est rodando. Na maioria das instalaes de software dos servidores HTTP a configurao default esta aberta deixando grandes brechas para serem exploradas. Assegure-se de dedicar tempo para ajustar a configurao de maneira a permitir somente um conjunto mnimo de caractersticas requerido para o sitio web operar adequadamente. O IIS usa um lao de programao conhecido como ISAPI para associar arquivos que tenham determinadas extenses com DLLs (conhecidas como filtros ISAPI). Preprocessadores como ColdFusion e PHP usam ISAPI, e o IIS inclui muitos filtros ISAPI para controlar funes tais como Active Server Pages (ASP), servios web .Net, e o compartilhamento de impressoras baseado na web. Muitos filtros ISAPI instalados por default com o IIS no so necessrios na maioria das instalaes, e mutiods desses filtros so explorveis. Exemplos de programas maliciosos que usam este tipo de mecanismo de propagao incluem os conhecidos worms Code Red e Code Red 2. Habilite somente as extenses ISAPI que o servidor web necessita reconhecer. Tambm aconselhvel restringir as opes HTTP que possam ser usadas com cada extenso ISAPI permitida. A maioria dos servidores web inclui exemplos de programas ou stios web desenhados para demonstrar a funcionalidade do servidor web. Esses programas no foram desenhados para operar de maneira segura em um ambiente de produo. Alguns

desses programas de exemplo esto permitidos visualizar ou sobrescrever arquivos arbitrrios bem como acesso remoto a outras informaes crticas do servidor, incluindo a senha do administrador. Remova esses programas antes de colocar o servidor em produo. Uma instalao IIS que no se efetue manuteno peridica tambm est sujeita s vulnerabilidades descobertas desde a data de publicao do software. Os exemplos incluem as vulnerabilidades relacionadas a PCT e SSL que foram tratadas pelo patch MS04-011 da Microsoft, e que poderiam permitir uma condio Denial of Service ou permitir que um atacante tome controle do servidor. A instalao a tempo de patches nos servidores de acesso pblico critica. Add-nos de terceiros para web tais como ColdFusion e PHP podem trazer vulnerabilidades adicionais numa instalao IIS, tanto por configurao inadequada ou atravs de vulnerabilidades prprias do produto. W1.2 Sistemas Operacionais Afetados Todos os sistemas Microsoft Windows com um servidor web instalado so passiveis de ser afetados. Isso inclui, mas no est limitado a: Microsoft IIS: Windows NT4.0 ou superior, incluindo XP Professional Apache HTTP server: Windows NT 4.0 SP3 ou superior, tambm podem estar rodando em Win95 e Win98 Sun Java System/Sun One/iPlanet Web Server: Windows NT 4.0 SP6 ou superior

Observao: Windows 2000 Server vem com o IIS instalado por default, tal como muitos descobriram durante a infames erupes do Nimda e do Code Red. Ademais, alguns aplicativos de terceiros requerem a funcionalidade oferecida pelo IIS, possivelmente resultando em administradores instalando esse software sem que se dem conta. Nunca suponha que uma rede est imune a ataques ao servidor web simplesmente porque o servidor web no foi intencionalmente instalado; audite regularmente as redes buscando por servidores web "rogue". Veja "Como determinar se voc est vulnervel" abaixo para mais informao. W1.3 Referncias CVE/CAN a. IIS CVE CVE CVE CVE entries entries entries entries for for for for IIS IIS IIS IIS 2.0 3.0 4.0 5.0

b. Apache CAN-2001-0729, CAN-2002-0249, CAN-2002-0654, CAN-2002-0661, CAN2002-0661, CAN-2003-0016, CAN-2003-0017, CAN-2003-0460, CAN-20030844, CAN-2004-0492, CAN-2004-0493 CVE-1999-0448, CVE-2000-0505, CVE-2001-1342, CVE-2001-1342 Mdulos Apache: CAN-2003-0844, CAN-2004-0492

c. iPlanet/Sun

CAN-2002-0686, CAN-2002-1042, CAN-2002-1315, CAN-2002-1315, CAN2002-1316, CAN-2003-0411, CAN-2003-0412, CAN-2003-0414, CAN-20030676, CAN-2003-0676 CVE-2000-1077, CVE-2000-1077, CVE-2001-0252, CVE-2001-0327, CVE-20010327, CVE-2002-0845, CVE-2002-0845

d. Add-ons

CAN-1999-0455, CAN-1999-0477, CAN-1999-1124, CAN-2001-0535, CAN2001-1120, CAN-2002-1309, CAN-2003-0172 CVE-1999-0756, CVE-1999-0922, CVE-1999-0924, CVE-2000-0410, CVE-20000538

ColdFusion: CVE-1999-0756 CVE-1999-0760, CVE-1999-0922, CVE-19990924, CAN-2002-1309, CAN-2004-0407, CVE-2000-0189, CVE-2000-0382, CVE-2000-0410, CVE-2000-0538, CVE-2002-0576 PHP: CAN-2002-0249, CAN-2003-0172 e. Outros Servios CAN-1999-1369, CAN-2003-0227, CAN-2003-0349, CAN-2003-0725, CAN2003-0905 CVE-1999-0896, CVE-1999-1045, CVE-2000-0211, CVE-2000-0272, CVE-20000474, CVE-2000-1181, CVE-2001-0083 eEye SecureIIS: CAN-2001-0524 Jakarta Tomcat: CAN-2003-0045 W1.4 Como determinar se voc est vulnervel Toda as instalaes default ou sem aplicao de patches de servidores web se supe que esto vulnerveis. A maioria dos vendedores de servidores e servios web fornece uma abundancia de informao relacionada aos problemas atuais de segurana. Os exemplos incluem: Apache HTTP Server Main Page & Security Report Microsoft TechNet Security Centre Microsoft Internet Information Server (IIS) Security Centre Sun Web, Portal, & Directory Servers Download Centre Macromedia Security Zone Real Networks Security Issues PHP Home Page e Downloads

Tambm verifique todos os patches de servio associados ao servidor web bem como as revises de software, incluindo configuraes, informaes de segurana que vo em contra o vendedor e a CVE database regularmente para avaliar a vulnerabilidade potencial. importante compreender que se descobrem novos problemas regularmente e uma boa pratica consultar a base de dados CVE para avaliar adequadamente a vulnerabilidade potencial.

Existem algumas ferramentas de avaliao locais e remotas para ajudar os administradores de servidores web a auditar suas redes, incluindo: Nessus (Open-source) SARA (Open-source) Nikto (Open-source) eEye Free Utilities & Commercial Scanners Microsoft Baseline Security Analyzer (especfico de IIS)

Recomenda-se rodar ferramentas remotas de avaliao de vulnerabilidade em toda a rede, em vez de faz-lo somente em servidores conhecidos, para avaliar a vulnerabilidade potencial de instalaes de servidores web "rogue". W1.5 Como se proteger Para a maioria dos sistemas 1. Aplique os patches apropriados ao servio HTTP bem como ao Sistema Operacional e qualquer aplicativo instalados no mesmo host. Atualize os patches e mantenha-os em dia. 2. Instale anti-virus local e software de Deteco de Intrusos baseado em host. Assegure-se de manter ambos atualizados com relao aos patches e revisar os arquivos de log freqentemente. 3. Desabilite interpretadores de script que no esto em uso e remova seus executveis. Por exemplo; perl, perlscript, vbscript, jscript, javascript, e php. 4. Habilite logging no caso de que se encontre disponvel e revise os arquivos de log freqentemente, preferivelmente atravs de um processo automatizado que sumariza os eventos e reporta excees e eventos suspeitosos. 5. Use sistema do tipo syslog para armazenar os arquivos de logs do Sistema Operacional e logs HTTPd de maneira segura em outro sistema. 6. Remova ou restrinja as ferramentas de sistema que so comumente usadas por atacantes para ajud-los com o comprometimento inicial e expandir alem do host que serviu de vitima inicial. Por exemplo; tftp(.exe), ftp(.exe), cmd.exe, bash, net.exe, remote.exe, e telnet(.exe). 7. Limite os aplicativos rodando no host ao servio/daemon HTTP e seus servios de apoio. 8. Sempre que for possvel, no execute autenticao de domnio ou de outro tipo neste host. 9. Conhea e minimize qualquer meio que permita comunicao com a parte interior da rede e que so realizados atravs o servidor(es) web publico. Por exemplo, compartilhamentos NetBIOS, relaes de confiana, e interao de bases de dados. 10. Use convenes de nomes de contas e esquemas de senhas diferentes entre os sistemas acessveis publicamente e os sistemas internos da rede. Qualquer vazamento de informao de um sistema acessvel publicamente no deveria favorecer um ataque aos sistemas internos. a. IIS Instalar patches num servidor durante a instalao necessrio mas no suficiente. medida que se descobrem novas debilidades do IIS, aplique os patches correspondentes. O Windows Update e Automatic update so opes para instalaes de servidores nicos. HFNetChk, o Network Security Hotfix Checker, ajuda o

administrador de sistemas a escanear sistemas locais ou remotos em busca de patches atualizados. Essa ferramenta funciona com Windows NT 4, Windows 2000, e Windows XP. A ltima verso pode ser baixada da Microsoft em http://www.microsoft.com/technet/security/tools/hfnetchk.asp. Ademais, h um documento til titulado Securing a Windows 2000 IIS Web Server Lessons Learned por Harpal, pode ser encontrado na SANS Reading Room. Use IIS Lockdown Wizard para robustecer a instalao Microsoft publicou uma ferramenta simples para ajudar a assegurar instalaes IIS e que se conhece como IIS Lockdown Wizard. A verso atual pode ser baixada da Microsoft em http://www.microsoft.com/technet/security/tools/locktool.asp Rodando o IIS Lockdown Wizard em modo "custom" ou "expert" permitira as seguintes modificaes recomendadas a serem realizadas numa instalao IIS: Desabilitar WebDAV (a menos que o ambiente inevitavelmente o requeira para a publicao de contedo web). Eliminar mapeos de extenses ISAPI desnecessrias (incluindo .htr, .idq, .ism, e .printer em particular). Eliminar os programas de exemplo. Impedir o servidor web de executar comandos que so comumente usados em um comprometimento (Por exemplo, cmd.exe e tftp.exe). A SANS Reading Room contm o documento Using Microsofts IISlockdown tool to protect your IIS Web Server por Jeff Wichman que trata especificamente da ferramenta IISlockdown. Use URLScan para filtrar requerimentos HTTP Muitos exploits IIS, incluindo o Code Blue e o Code Red usam pacotes maliciosamente formados de HTTP em ataques directory traversal ou buffer overflow. O filtro URLScan pode ser configurado para rejeitar esses pacotes antes que o servidor tenta processlos. A verso atual esta integrada no IIS Lockdown Wizard, mas pode ser baixada separadamente da Microsoft em http://www.microsoft.com/technet/security/tools/urlscan.mspx. b. Apache Os problemas de controle de acesso, restrio por IP e os mdulos de segurana Apache, bem como diversos outros assuntos, so discutidos na pgina Apache Tutorials. Ademais, Securing Apache: Step-by-Step por Artur Maj um documento muito til que se encontra na SANS Reading Room e que cobre detalhadamente as tarefas de assegurar um servidor Apache. c. iPlanet/Sun One Edmundo Farinas trata do tpico assegurar iPlanet em seu documento Security Considerations for the iPlanet Enterprise Web Server on Solaris o qual se encontra na SANS Reading Room.

Ademais, Sun publica o documento Sun ONE Application Server Security Goals que detalha os passos recomendados para assegurar um servidor iPlanet/Sun One. d. Add-ons Em caso que se usem add-ons de terceiros tais como ColdFusion, PerlIIS, ou PHP verifique os sites dos vendedores para encontrar patches, bem como conselhos de configuraes. Por razes bvias, Microsoft no inclui patches de terceiros no Windows Update ou servios relacionados. Para informao sobre como proteger ColdFusion, veja o documento da SANS Reading Room titulado Web Application Security, with a Focus on ColdFusion por Joseph Higgins. Localizado na SANS Reading Room, Securing PHP: Step-by-step por Artur Maj ilustra o processo de assegurar aplicativos PHP. Ademais, um recurso til o PHP Manual, Chapter 16. Security, que trata a segurana de PHP detalhadamente. e. Outros servios Enquanto h passos gerais listados acima que podem ser tomados para assegurar a maioria dos servios web, cada servidor geralmente tem seu conjunto prprio de atualizaes e patches fornecidas pelo vendedor, configuraes recomendadas, e caractersticas de logging. Revise a documentao incluindo toda informao colocada no web site do vendedor e assegure-se de registrar para cada servio de notificao e newsletter que ele tenha disponvel. Isto ajudara a mant-lo informado de pontos importantes de segurana e a trat-los rpida e eficientemente. back to top ^ W2 O Servio Workstation W2.1 Descrio O servio Windows Workstation responsvel pelo processamento de peties de usurios para acessar a recursos tais como arquivos e impressoras. O servio determine se o recurso se encontra no sistema local ou em um compartilhamento na rede, e reenvia apropriadamente o correspondente requerimento. As funes de gerenciamento de redes oferecidas pelo servio podem ser invocadas atravs de qualquer dos seguintes mecanismos: Chamadas DCE/RPC sobre o protocolo SMB com conexo prvia ao servio usando o named pipe \\pipe\wkssvc. Chamadas diretas DCE/RPC por uma porta UDP (> 1024) Chamadas diretas DCE/RPC por uma porta TCP (> 1024) Note que o servio se enlaa primeira porta disponvel TCP ou UDP que seja maior que 1024. O servio Workstation contm um buffer overflow baseado no stack que pode ser ativado por uma chamada DCE/RPC especialmente construda. O problema surge

porque os parmetros so passados funo de logging sem nenhuma verificao de limites. Este overflow pode ser explorado por um atacante remoto no autenticado para executar cdigo arbitrrio no sistema Windows com privilgios de Sistema. O atacante pode obter controle total do sistema comprometido. O cdigo de exploit para realizar a vulnerabilidade est publicado em Internet e foi reutilizado em algumas variaes do worm Phatbot/Gaobot que infectou a milhes de sistemas em todo o mundo. W2.2 Sistemas Operacionais Afetados Windows 2000 SP2, SP3 E SP4 Windows XP Windows XP 64 Bit Edition W2.3 Referncias CVE/CAN CAN-2003-0812 W2.4 Como determinar se voc est vulnervel Os sistemas rodando Windows 2000 sem o patch MS03-049 e Windows XP sem o patch MS03-043 so vulnerveis. Verifique as seguintes entradas no registro de Windows: KB828035: Baixo HKLM\Software\Microsoft\Updates\Windows XP (Windows XP) KB828749: Baixo HKLM\Software\Microsoft\Updates\Windows 2000 (Windows 2000) Se estas entradas no esto presentes, o sistema Windows est vulnervel. Alternativamente, use um escaneador de redes como o Microsoft Baseline Security Analyzer (MBSA) para verificar se uma atualizao apropriada foi instalada. O MBSA pode ser baixado de http://www.microsoft.com/technet/security/tools/mbsahome.mspx W2.5 Como se proteger (a) Assegure-se que os sistemas Windows tenham todos os patches de segurana instalados. Especificamente assegure-se de que os sistemas Windows 2000 tenham o patch MS03-049 e os sistemas Windows XP o patch MS03-043 instalados. (b) Bloqueie as portas 139/tcp e 445/tcp no permetro da rede. Isto impede que um atacante remoto explore o overflow atravs do SMB. (c) Abra somente as portas TCP necessrias maiores que 1024 no permetro da rede. Isto impede que um atacante remoto explore o overflow atravs de chamadas DCE/RPC. Note que difcil bloquear portas UDP acima de 1024 no firewall j que as portas neste intervalo so utilizadas como portas transitrias. (d) Use o Filtrado TCP/IP disponvel em Windows 2000 e XP, ou o Internet Connection Firewall nos sistemas Windows XP para bloquear acesso entrante s portas afetadas. (e) Para aplicativos de terceiros rodando em plataformas personalizadas Windows 2000/XP assegure-se de aplicar um patch apropriado fornecido pelo vendedor. Por exemplo, Cisco publicou um advisory afirmando que h vrios produtos de Cisco vulnerveis a este overflow.Cisco tambm forneceu os patches. (f) Se o sistema stand-alone, ou seja, no pertence ao ambiente de rede Windows, ento o servio Workstation pode ser desativado sem nenhuma conseqncia.

Informao adicional: Microsoft Advisory http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx eEye Advisory http://www.eeye.com/html/Research/Advisories/AD20031111.html CERT Advisories http://www.cert.org/advisories/CA-2003-28.html http://www.kb.cert.org/vuls/id/567620 CORE Security Advisory http://archives.neohapsis.com/archives/vulnwatch/2003-q4/0066.html Cisco Advisory http://www.cisco.com/warp/public/707/cisco-sa-20040129-ms03-049.shtml Gaobot Worm http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html back to top ^ W3 Servios de Acesso Remoto W3.1 Descrio A famlia de Plataformas Operacionais Windows suporta uma variedade de diferentes mtodos e tecnologias de rede. H suporte nativo para a maioria dos protocolos de rede padro e tambm funcionalidade prpria para muitos dos mtodos e tcnicas de redes especficas de Microsoft. Entre estas tecnologias de rede especificas de MS esto os notoriamente inseguros ou mal configurados items tais como os compartilhamentos de rede NETBIOS, sesso annima null session, acesso remoto ao registro, e servios RPC. Estes items constituem uma grande parte dos exploits a nvel de rede em Windows e esto sumarizados a seguir. NETBIOS Compartilhamento de Redes Windows sem proteo, Microsoft Windows lhe d ao sistema host a habilidade de compartilhar arquivos e pastas ao longo da rede com outros hosts atravs de compartilhamento de rede Windows. O mecanismo subjacente desta caracterstica o protocolo Server Message Block (SMB), ou Common Internet File System (CIFS). Estes protocolos permitem que um host manipule arquivos remotos como se fossem locais. Apesar de que isto uma caracterstica til e poderosa de Windows, a configurao inapropriada de compartilhamentos de rede pode expor arquivos crticos do sistema ou podem oferecer um mecanismo que permita um indesejvel usurio ou programa a tomar controle total do host. Uma das maneiras em que o worm which I-Worm.Klez.ah (Klez Family), Sircam virus (veja CERT Advisory 2001-22) e worm Nimda (veja CERT Advisory 2001-26) se expandiram to rapidamente no 2001 foi descobrindo compartilhamentos de redes desprotegidos e colocando copias de si mesmos nesses compartilhamentos. Muitos proprietrios de computadores inadvertidamente abriram seus sistemas a hackers quando tinham na realidade a inteno de melhorar a eficincia de trabalho com colaboradores externos tornando seus discos legveis e permitindo escritura por usurios da rede. Entretanto, utilizando cautela para

assegurar uma configurao apropriada da rede, os riscos de compromisso podem ser adequadamente mitigados. Anonymous Logon Uma sesso nula uma sesso estabelecida sem credenciais (por exemplo, nome e senha em branco). As sesses nulas podem ser usadas para mostrar informao sobre usurios, grupos, compartilhamentos e polticas de senhas. Os servios de Microsoft Windows NT rodando como conta Local System no computador local se comunica com outros servios atravs da rede estabelecendo para isso uma sesso nula. Windows 2000 e servios mais novos rodando como conta Local System no computador local usam a conta de computador local para autenticar outros servidores. O Active Directory rodando em modo nativo no aceita consultas atravs de sesses nulas. Em modo mixto, Active Directory permite acesso compatvel PreWindows 2000, aceitando consultas de sesses nulas, as quais, por seu lado, herdam as vulnerabilidades da sesso nula de Windows NT. Remote Registry Access - Microsoft Windows 9x, Windows CE, Windows NT, Windows 2000, Windows 2003, Windows ME e Windows XP empregam uma hierarquia central de base de dados, conhecida como o registro, para gerenciar software, configuraes de dispositivos, e configuraes de usurios. Permisses imprprias ou configuraes de segurana podem permitir o acesso remoto ao registro. Os atacantes podem explorar esta caracterstica para comprometer o sistema ou tomar como base para ajustar a associao de arquivos e permisses para habilitar cdigo malicioso. Remote Procedure Calls Muitas verses dos sistemas operacionais de Microsoft (Windows NT 4.0, 2000, XP, e 2003) fornecem um mecanismo de comunicao interprocesso que permite que programas rodando em um host executem cdigo em hosts remotos. Se publicaram trs vulnerabilidades que permitiriam que um atacante execute cdigo arbitrrio em hosts suscetveis com priviliegios de Local System. Uma dessas vulnerabilidades foi explorada pelos worms Blaster/MSblast/LovSAN e Nachi/Welchia worms. H outras vulnerabilidades que poderiam permitir a atacantes a executar ataques Denial of Service contra componentes RPC. W3.2 Sistemas Operacionais Afetados Windows 95, Windows 98, Windows NT Workstation e Server, Windows Me, Windows 2000 Workstation e Server, Windows XP Home e Professional, e Windows 2003 so todos vulnerveis. W3.3 Referncias CVE/CAN NETBIOS CVE-2000-0979 CAN-1999-0518, CAN-1999-0519, CAN-1999-0621, CAN-2000-1079 Anonymous Logon CVE-2000-1200 Remote Registry Access CVE-2000-0377, CVE-2002-0049 CAN-1999-0562, CAN-2001-0045, CAN-2001-0046, CAN-2001-0047, CAN-2002-0642, CAN-2002-0649, CAN-2002-1117

Remote Procedure Calls CAN-2002-1561, CAN-2003-0003, CAN-2003-0352, CAN-2003-0528, CAN-2003-0605, CAN-2003-0715 W3.4 Como determinar se voc est vulnervel Como determinar se voc est vulnervel aos problemas relacionados ao NETBIOS. Varias ferramentas esto disponveis que podem ajudar a determinar se h vulnerabilidades relacionadas a NETBIOS em um sistema. NbtScan - NetBIOS Name Network explora os servios de compartilhamento de arquivos NETBIOS disponveis nos sistemas destino. NbtScan est disponvel em: http://www.inetcat.org/software/nbtscan.html. NLtest ferramenta extremamente potente, est includa no Windows 2000 e 2003 Support Tools (podem ser encontradas no CD do produto) e Windows NT4 Resource Kit. NLtest pode obter informao abundante sobre vulnerabilidades potenciais de configurao. Os usurios de Windows 95/98/Me podem utilizar Legion v2.11, a ultima verso do escaneador Legion File Share por Rhino9, para escanear em busca de compartilhamentos de redes Windows. Os administradores de Windows 2000 podem usar Security Fridays Share Password Checker (SPC) para escanear seus clientes de compartilhamento Windows 95/98/Me para verificar se eles so vulnerveis vulnerabilidade Share Level Password, cujo efeito revelar a senha de compartilhamento de pastas ao atacante. Para o Windows NT (SP4), Windows 2000, Windows XP, e Windows 2003, o Microsoft Baseline Security Analyser reporta hosts que esto vulnerveis aos exploits de SMB e pode ser usado para corrigir o problema. Os testes podem ser rodados localmente ou em um host remoto. Os usurios de Windows NT, Windows 2000, Windows XP, e Windows 2003 podem simplesmente digitar net share no prompt de sistema para ver quais recursos esto compartilhados. Para mais informao sobre o comando net share, digite net share /?. Nota IMPORTANTE: Este artigo contm informao sobre modificar recursos compartilhados. Antes de modificar qualquer recurso compartilhado, assegure-se de entender como restaurar o recurso se ocorrer algum problema. Recomenda-se que qualquer modificao seja amplamente testada antes de ser implementada em um ambiente de produo. Para informao sobre recursos compartilhados, clicar os seguintes nmeros de artigos para v-los na Microsoft Knowledge Base: 125996 - Saving and Restoring Existing Windows Shares 308419 - HOW TO Set, View, Change, or Remove Special Permissions for Files and Folders in Windows XP 307874 - HOW TO Disable Simplified Sharing and Password-Protect a Shared Folder in Windows XP

174273 How to Copy Files and Maintain NTFS and Share Permissions As permisses default em novos compartilhamentos: Windows NT, Windows 2000, e Windows XP (Pre Service Pack 1) Everyone - Full Control Windows XP SP1 Everyone - Read

Windows XP por default tem uma pasta compartilhada chamada "SharedDocs." A localizao fsica desse compartilhamento : "C:\Documents and Settings\All Users\Documents" Everyone Full Control A maioria das ferramentas disponiveis de scan para redes comercialmente detecta compartilhamentos abertos. Um teste rpido, grtis, e seguro da presena de compartilhamento de arquivos SMB e suas correspondentes vulnerabilidades, eficiente para computadores rodando qualquer sistema operacional Windows, est disponvel em Gibson Research Corporation web site. Siga os links at ShieldsUP para receber uma avaliao em tempo real de qualquer exposio SMB do sistema. Esto disponveis instrues detalhadas para ajudar aos usurios de Microsoft Windows a lidar com as vulnerabilidades SMB. Note que se o sistema est conectado sobre uma rede onde algum dispositivo intermdio bloqueia SMB, a ferramenta ShieldsUP reportar que dito sistema no est vulnervel quando em realidade est. Este e o caso, por exemplo, para usurios em um cable modem onde o provedor esta bloqueando SMB para dentro da rede de cable modem. ShieldsUP reportar um sistema no vulnervel. Entretanto, as outras aproximadamente 4,000 pessoas que esto no cable modem link podero explorar esta vulnerabilidade. Ferramentas automatizadas de escaneo para detectar vulnerabilidades de compartilhamento: Nessusum escaneador de segurana remoto grtis, potente, atual e fcil de usar Winfingerprint por vacuum escaneador Win32 Host/Network Enumeration Como determinar se voc est vulnervel aos problemas relacionados a Anonymous Logon. Tente estabelecer uma sesso nula ao computador utilizando o seguinte comando desde o prompt de sistema (Start --> Run --> digite cmd): C:\>net use \\ipaddress\ipc$ "" /user:"" A sintaxe precedente conecta ao compartilhamento oculto de comunicao interprocesso (IPC$) em ipaddress como usurio annimo (/user:"") com uma senha nula (). Se aparece a mensagem System error 5 has occurred. Access is denied. ento o sistema no vulnervel. Se aparece a mensagem The command completed successfully, ento o sistema vulnervel.

As ferramentas citadas acima, Nessus e Winfingerprint,tambm podem ser usadas para detectar vulnerabilidades de sesses nulas. Como determinar se voc est vulnervel aos problemas relacionados a Remote Registry Access. O NT Resource Kit (NTRK) disponvel na Microsoft contem um arquivo executvel chamado Regdump.exe que examina passivamente as permisses de acesso remoto ao registro de um host Windows NT a outro host Windows NT/Windows 2000 ou Windows XP na Internet ou na rede interna. Ademais, um coleo de scripts de linha de comando para examinar as permisses de acesso ao registro e varias outras caractersticas de segurana esto disponveis para baixar em http://www.afentis.com/top20. Como determinar se voc est vulnervel aos problemas relacionados ao Remote Procedure Call. Microsoft colocou disposio gratuita para download ferramentas de hotfix, configurao e verificao de patches; talvez essa seja a melhor maneira de determinar se os hosts Windows esto susceptveis a alguma destas vulnerabilidades. Se chama Microsoft Baseline Security Analyzer (MBSA) e est disponvel em http://www.microsoft.com/technet/security/tools/mbsahome.mspx Tambm h uma ferramenta standalone de scan que verifica se faltam unicamente patches de segurana para CAN-2003-0352, CAN-2003-0528, CAN-2003- 0605 e CAN2003-0715; ela esta disponvel em http://support.microsoft.com/?kbid=827363. Entretanto, se encoraja a utilizar o MBSA, que tem uma cobertura mais ampla. Usurios residenciais ou de redes pequenas com poucos computadores para administrar provavelmente estaro mais cmodos utilizando o Windows Update em http://windowsupdate.microsoft.com/ e verificando os computadores individualmente para detectar software desatualizado. W3.5 Como se proteger Microsoft trata as vulnerabilidades de segurana atravs dos Service Packs e hotfixes de segurana para os Sistemas Operativos e aplicativos. extremamente importante ter o Service Pack mais recente instalado no sistema. Por exemplo, o worm Sasser e seus clones (explorando a vulnerabilidade do sistema LSASS) infectaram muitos sistemas com ausncia de patches em todo o mundo, enquanto que sistemas que tinham o hotfix MS04-011 instalados foram imunes a esta vulnerabilidade extremamente perigosa. Microsoft publicou o hotfix MS04-011 varias semanas antes da apario do worm Sasser. NOTA: Windows 95 e Windows NT4 Workstation j no esto mais suportados pela Microsoft. O suporte para Windows NT4 Server expira em 31 de Dezembro de 2004. Para detalhes sobre o ciclo de vida para os sistemas operacionais e produtos suportados veja o artigo de Microsoft Product Lifecycle Dates - Windows Product Family. Para encontrar hotfixes relevantes de segurana para um sistema, utilize: O servio Windows Update (Start Windows Update). Ele detecta automaticamente todos os hotfixes de segurana requeridos em um sistema e

os instala apos o usurio selecionar (aprovar) aqueles que necessitam ser instalados. O servio de busca online Windows Security Bulletin Search localizado em: http://www.microsoft.com/technet/security/current.aspx

Enquanto os service packs atualizados e os hotfixes de segurana resolvem muitos dos problemas relacionados ao desenho de software (tais como buffer overflows, erros de desenho de cdigo etc), h varias caractersticas perigosas nos SO Windows que tm funcionalidade legtima e documentada, mas podem ser seguramente desabilitadas ou protegidas em muitos cases de modo a robustecer a segurana do sistema. Como se proteger dos ataques relacionados a NETBIOS. Varias aes podem ajudar a mitigar o risco de explorao da vulnerabilidade atravs dos Windows Networking Shares: Desabilitar os servios Alerter e Messenger (estes servios estao desabilitados por default no Windows 2003, mas esto configurados como inicio Automtico no Windows 2000/XP/NT4). Desabilitando estes servios impede ou reduz significativamente o valor da enumerao do sistema, que normalmente se realiza antes de um ataque ou infeco. Para desabilitar estes servios: Selecione Start Programs Administrative Tools Services; Selecione o servio Alerter double-click it configure Startup type com o valor Disabled press button Apply press button Stop press button OK. Selecione o servio Messenger double-click it configure Startup type com o valor Disabled press button Apply press button Stop press button OK. Desabilite compartilhamento em todos os sistemas que no o requeiram Se o sistema no necessita proporcionar os servios de arquivos e impresso (a maioria das estaes residenciais e tpicas de negcios caem nesta categoria), o servio Server pode ser desabilitado nos sistemas Windows NT4/2000/2003/XP. Para desabilitar o servio Server:

Selecione Start Programs Administrative Tools Services selecione o servio Server double-click it configure Startup type com o valor Disabled press button Apply press button Stop press button OK. Se o sistema no requer o servio Server rodando, se podem tomar os seguintes passos para proteger os sistemas Windows NT4/2000/2003/XP: 1. Enumere todos os compartilhamentos ocultos default (C$, D$, E$ etc) digitando o comando: Net share em um prompt de comando. Anote os compartilhamentos existentes. 2. Elimine os compartilhamentos ocultos default digitando o comando: Net share C$ /delete em um prompt de comando. Na maioria das vezes todos os compartilhamentos alfabeticos (C$, D$, E$ etc) e o compartilhamento ADMIN$ podem ser borrados sem riscos. No se recomenda eliminar o compartilhamento default IPC$ em nenhum sistema.

3. Para que a eliminao dos compartilhamentos default seja permanente (eles seriam restabelecidos automaticamente quando o sistema se reinicia ou se reinicia o servio Server), necessrio fazer as seguintes modificaes no registro: Abra o Editor de Registry; Navegue at a chave do registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters Crie um novo valor de registro baixo essa chave: Nome do valor: AutoShareWks Tipo do valor: DWord Valor: 00000000 Crie um novo valor de registro baixo essa chave: Nome do valor: AutoShareServer Tipo do valor: DWord Valor: 00000000

Revise compartilhamentos non-default (criado por usuarios) existentes no sistema. Isso pode ser feito por: Interface grfica (My Computer right-click Manage Shared Folders Shares). Selecione os compartilhamentos que necessitam ser desabilitados right-click selecione Stop Sharing. Linha de comando (em um prompt de sistema ou como parte de um script): o Enumere todos os compartilhamentos digitando o comando: Net share em um prompt de sistema. Anote os compartilhamentos existentes. Elimine os compartilhamentos desnecessrios digitando o comando: Net share ShareName /delete em um prompt de sistema. Isso ir eliminar permanentemente somente os compartilhamentos non-default (criado por usurios). Para eliminar permanentemente os compartilhamentos ocultos default C$, D$, ADMIN$ veja o procedimento no pargrafo prvio. Para os clientes Windows 95/98/Me que so parte de um domnio Windows NT se recomenda configurar com o nvel usurio do controle de acesso de compartilhamento de arquivos. No permitir compartilhamento com hosts na Internet. Assegure-se de que todos os hosts com interfaces em Internet tenham o compartilhamento de rede Windows desabilitado no Windows network control panel. O compartilhamento com hosts na Internet deve ser feito usando SCP, FTP, ou HTTP. No permitir compartilhamentos no autenticados. Se o compartilhamento de arquivos necessrio, no permita acesso no autenticado ao compartilhamento. Configurar o compartilhamento de maneira que se requeira uma senha para a conexo com o mesmo. Restringir ao mnimo necessrio de pastas. Os compartilhamentos geralmente deveriam limitar-se a uma nica pasta com possivelmente algumas sub-pastas dentro da mesma.

Restringir permisses nas pastas compartilhadas ao mnimo necessrio. Tomar especial cuidado de permitir acesso de escritura somente quando seja absolutamente necessrio. Para maior proteo, permitir compartilhamento somente a endereos IP especficos j que nomes DNS podem so passiveis de spoofing. Como se proteger de problemas relacionados a Anonymous Logon nos seus sistemas. Nota IMPORTANTE: Este artigo contm informao sobre modificar o registro. Antes de modificar o registro, assegure-se de fazer uma copia de backup e de compreender como restaur-lo se ocorrer algum problema. Recomenda-se que qualquer modificao seja amplamente testada antes de sua implementao em um ambiente de produo. Para informao sobre como fazer o backup, restaurar ou editar o registro, clicar os seguintes nmeros de artigos para v-los na Microsoft Knowledge Base: 256986 - Description of the Microsoft Windows Registry 323170 - HOW TO Backup, Edit, and Restore the Registry in Windows NT 4.0 322755 - HOW TO Backup, Edit, and Restore the Registry in Windows 2000 322756 - HOW TO Backup, Edit, and Restore the Registry in Windows XP Windows Server 2003 Os controladores de domnio de Windows NT requerem sesses nulas para estabelecer comunicao. Como conseqncia, quando se esta trabalhando em um domnio Windows NT ou Windows 2000/2003 Active Directory rodando em modo misto, o qual permite acesso compativel Pre-Windows 2000, possvel minimizar a informao que os atacantes podem obter mas no frear todo o vazamento, configurando o valor do registro RestrictAnonymous igual a 1. Por exemplo; GetAcct da Security Friday evade RestrictAnonymous=1 e enumera o SID e o UserID. A soluo ideal com Windows 2000/2003 Active Directory em modo nativo configurar RestrictAnonymous com o valor 2. Para restringir a informao disponvel atravs de sesses nulas, clicar os seguintes nmeros de artigos para v-los na Microsoft Knowledge Base: 143474 - Restricting Information Available to Anonymous Logon Users in Windows NT 246261 - How to Use the RestrictAnonymous Registry Value in Windows 2000 Para resolver problemas relacionados ao valor do registro RestrictAnonymous, clicar o seguinte numero de artigo para v-lo na Microsoft Knowledge Base: 296405 - The RestrictAnonymous Registry Value May Break the Trust to a Windows 2000 Domain Como se proteger do Remote Registry Access nos seus sistemas. Para tratar este threat, o acesso ao registro de sistema deve ser restrito e a configuracao de permissoes deve ser revisada. Os usuarios de Microsoft Windows NT 4.0 tambem deveriam assegurar-se de ter o Service Pack 4 (SP4) ou posterior instalado antes de fazer ajustes no registro. Nota IMPORTANTE: Este artigo contm informao sobre modificar o registro. Antes de modificar o registro, assegure-se de fazer uma copia de backup e de compreender como restaur-lo se ocorrer algum problema. Recomenda-se que qualquer modificao

seja amplamente testada antes de sua implementao em um ambiente de produo. Para informao sobre como fazer o backup, restaurar ou editar o registro, clicar os seguintes nmeros de artigos para ver o artigo na Microsoft Knowledge Base: 256986 - Description of the Microsoft Windows Registry 323170 - HOW TO Backup, Edit, and Restore the Registry in Windows NT 4.0 322755 - HOW TO Backup, Edit, and Restore the Registry in Windows 2000 322756 - HOW TO Backup, Edit, and Restore the Registry in Windows XP Windows Server 2003 Restrict Network Access. Para restringir o acesso atravs da rede ao registro, siga os passos abaixo para criar a seguinte chave no registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\ SecurePipeServers\winreg Descrio: REG_SZ Valor: Registry Server As permisses de segurana configuradas nesta chave definem os usurios ou grupos que tem permitido o acesso remoto ao registro. As instalaes default de Windows definem esta chave e configuram a Lista de Controle de Acesso para outorgar os privilgios mximos ao Administrador de sistema e ao grupo Administradores (e Backup Operators no Windows 2000). As modificaes no registro requerem um reboot para entrar em vigor. Para criar a chave do registro de maneira a restringir o aceso remoto ao mesmo: 1. Abra o editor de registro ("regedt32.exe" ou "regedit.exe") e v at a seguinte chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 2. No menu "Edit", clique "Add Key." Class: REG_SZ 3. Ingresse os seguintes valores: Key Name: SecurePipeServers 4. V at a seguinte chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers 5. No menu "Edit", clique "Add Key." 6. Ingresse os seguintes valores: Key Name: winreg Class: REG_SZ 7. V at a seguinte chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg 8. No menu "Edit", clique "Add Value." 9. Entre os seguintes valores: Value Name: Description Data Type: REG_SZ String: Registry Server 10. V at a seguinte clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg 11. Selecione "winreg." Clique "Security" e ento clique "Permissions." Adicione Usurios ou Grupos para os quais outorgar acesso. 12. Feche o editor de registro e reinicie Microsoft Windows. 13. Se em uma etapa posterior se necessita mudar a lista de usurios que podem acessar o registro, repetir os passos 10-12. Limite Authorized Remote Access. Impor restries sobre o registro pode gerar efeitos colaterais adversos em servios de dependncia, tais como o Directory Replicator e o servio Spooler de impresso de rede.

Por tanto possvel aumentar um grau de detalhe nas permisses adicionando, na lista de controle de acesso da chave winreg, o nome da conta que o servio esta usando para rodar, ou configurando Windows para desconsiderar a restrio de acesso para determinadas chaves listando-as nos valores Machine ou Users baixo a chave AllowedPaths: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ SecurePipeServers\winreg\AllowedPaths Valor: Machine Tipo de Valor: REG_MULTI_SZ - Multi string Dado default: System\CurrentControlSet\Control\ProductOptionsSystem\ CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\ Services\EventlogSoftware\Microsoft\WindowsNT\CurrentVersionSystem\ CurrentControlSet\Services\Replicator Intervalo vlido: (Um caminho vlido para uma localizao no registro) Descrio: Permitir a computadores o acesso a localidades listadas no registro desde que no exista restrio explicita de acesso para essa localidade. Valor: Users Tipo de valor: REG_MULTI_SZ - Multi string Dado default: (nenhum) Intervalo vlido: (Um caminho vlido para uma localizao no registro) Descrio: Permitir a usurios o acesso localidades listadas no registro desde que no exista restrio explicita de acesso para essa localidade. Nos registros do Microsoft Windows 2000 e Windows XP: Valor: Machine Tipo de Valor: REG_MULTI_SZ - Multi string Dado default: System\CurrentControlSet\Control\ProductOptionsSystem\ CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\ control\Server ApplicationSystem\CurrentControlSet\Services\Eventlog\ Software\Microsoft\Windows NT\CurrentVersion Valor: Users (no existe por default) comum a existncia de um lapso de tempo entre que a vulnerabilidade se torna publica e o momento em que se coloca a disposio um patch. Pode ocorrer que por alguma outra razo de poltica a vulnerabilidade deve ser permitida. Para mitigar o risco uma organizao pode limitar o acesso atravs de firewalls ou roteadores. Uma medida extra seria escrever novas regras para um IDS (Intrusion Detection System) tal como o Snort que alertaria ou ativaria uma resposta do lado da organizao. Exemplos de regras documentadas do Snort podem ser encontrados aqui. Como se proteger dos problemas relacionados a Remote Procedure Call nos seus sistemas. A melhor maneira sem duvida aplicar os patches relevantes segundo indica o MBSA ou o Windows Update: veja "Como determinar se voc est vulnervel aos problemas relacionados ao Remote Procedure Call" acima. Alternativamente h algumas maneiras de desabilitar ou restringir parte da funcionalidade do Remote Procedure Call, e algumas delas podem ser encontradas no excelente resumo em http://www.ntbugtraq.com/dcomrpc.asp.

AVISO IMPORTANTE: desabilitar ou restringir a funcionalidade do Remote Procedure Call pode interromper servios Windows que se esperam que estejam ativos, portanto teste primeiramente qualquer modificao em um ambiente fora de produo. Se os sistemas no podem receber os patches, bloqueie as portas associadas com o Windows remote procedure call (portas TCP 135, 139, 445 e 593; portas UDP 135, 137, 138 e 445) no permetro da rede. Naturalmente sempre uma boa prtica bloquear *todos* os servios desnecessrios no permetro da rede por default. Para maior informao: Microsoft Knowledge Base Article 153183. How to Restrict Access to NT Registry from a Remote Computer. Outra fonte de informao a Microsoft Security Bulletin Search. MSDN Library (Buscar Securing Registry) Microsoft Knowledge Base Article 310426 : HOW TO: Use the Windows XP and Windows Server 2003 Registry Editor Network access: Remotely accessible registry paths and subpaths Windows Server 2003 Security Guide back to top ^ W4 Microsoft SQL Server (MSSQL) W4.1 Descrio O Microsoft SQL Server (MSSQL) contem varias vulnerabilidades serias que permitem a atacantes remotos obter informao confidencial, modificar contedo de bases de dados, comprometer os servidores SQL, e em algumas configuraes comprometer o servidor host. As vulnerabilidades do MSSQL so muito publicadas e ativamente baixo ataque. Dois worms recentes de MSSQL exploraram varias falhas do MSSQL em Maio de 2002 e Janeiro de 2003. Os hosts comprometidos por estes worms geram um nvel prejudicial de trfego de rede quando estes escaneam em busca de outros hosts vulnerveis. Informao adicional sobre estes worms pode ser encontrada em SQLSnake/Spida Worm (Maio de 2002) http://isc.incidents.org/analysis.html?id=157 http://www.eeye.com/html/Research/Advisories/AL20020522.html http://www.cert.org/incident_notes/IN-2002-04.html

SQL-Slammer/SQL-Hell/Sapphire Worm (Janeiro de 2003) http://isc.incidents.org/analysis.html?id=180 http://www.nextgenss.com/advisories/mssql-udp.txt http://www.eeye.com/html/Research/Flash/AL20030125.html http://www.cert.org/advisories/CA-2003-04.html

Portas 1433 e 1434 (portas default do MSSQL server e monitor) tambm foram regularmente registradas pelo Internet Storm Centre como sendo duas das portas mais freqentemente escaneadas. A rotina de exploit do SQLSnake depende de que a conta administrativa default, ou conta "sa", tenha uma senha nula. essencial para a configurao apropriada e para a defesa de qualquer sistema assegurar-se que todas as contas do sistema esto protegidas por senhas, ou completamente desabilitadas se no esto em uso. Voc pode encontrar mais informao com respeito a configurao e administrao de senhas para a conta sa na documentao da Microsoft Developer Network baixo Changing the SQL Server Administrator Login, bem como Verify and Change the System Administrator Password by Using MSDE. A conta sa deveria ter uma senha complexa, difcil de adivinhar mesmo que no a use para executar sua implementao SQL/MSDE. A rotina de exploit do SQL Slammer est baseada em um buffer overflow no SQL Server Resolution Service. Produz-se esse buffer overflow e a seguranca do host fica assim comprometida quando o worm envia pacotes preparados de ataque porta UDP 1434 do sistema vulnervel destino. Se o computador roda os servios SQL que esto sujeitos a esse buffer overflow e recebe pacotes dessa natureza, normalmente o resultado o compromisso total do servidor e da segurana do sistema. O meio mas eficaz de defesa contra este worm a aplicao assdua de patches, prticas proativas de configurao do sistema, e filtrado de entrada/sada na porta UDP 1434 dos gateways de rede. O Microsoft Server 2000 Desktop Engine (MSDE 2000) pensado como um "SQL Server Lite". Muitos proprietrios de sistemas nem mesmo percebem que seus sistemas esto rodando MSDE e qe eles tem uma verso do SQL Server instalada. O MSDE 2000 instalado como parte dos seguintes produtos da Microsoft: SQL/MSDE Server 2000 (Developer, Standard e Enterprise Editions) Visual Studio .NET (Architect, Developer e Professional Editions) ASP.NET Web Matrix Tool Office XP Access 2002 Visual Fox Pro 7.0/8.0

Alem destes, h muito outros pacotes de software que fazem uso do software MSDE 2000. Para uma lista atualizada, veja http://www.SQLsecurity.com/forum/applicationslistgridall.aspx. Como este software usa o MSDE como seu motor principal de base de dados, ele tem as mesmas vulnerabilidades do servidor SQL/MSDE. MSDE 2000 pode ser configurado para escutar conexes entrantes de clientes de muitas maneiras diferentes. Pode ser configurado de tal maneira para que os clientes possam usar named pipes sobre uma sesso NetBIOS (portas TCP 139/445) ou sockets com clientes conectando-se porta TCP 1433, ou ambas. Qualquer que seja o mtodo usado, o SQL Server e o MSDE sempre vo atender na porta UDP 1434. Esta porta est designada como uma porta monitora. Os clientes enviam uma mensagem a esta porta para descobrir dinamicamente como o cliente deveria conectar-se ao servidor. O motor do MSDE 2000 devolve informao sobre si quando recebe um pacote de um byte nico 0x02 na porta UDP 1434. Outros pacotes de byte nico causam um buffer

overflow sem nunca haver autenticado com o servidor. O que piora ainda mais estes problemas que o ataque se canaliza por UDP. Sempre que o processo MSDE 2000 roda no contexto de segurana de um usurio de domnio ou da conta local SYSTEM, a explorao exitosa destas falhas de segurana pode significar um compromisso total do sistema destino. Como o SQL Slammer explora um buffer overflow no sistema destinatrio, seguir as prticas recomendadas de aplicar patches assiduamente e configurar os sistemas cuidadosamente ajuda a mitigar essa ameaa. Atravs do download e uso de ferramentas defensivas tais como Microsoft SQL Critical Update Kit, se pode verificar os sistemas locais em quanto a vulnerabilidade a este exploit, escanear domnios inteiros pela existncia de sistemas vulnerreis, e automaticamente atualizar arquivos afetados com o SQL Critical Update. Para maiores detalhes sobre o worm SQL/MSDE Slammer, veja o informe e anlise em incidents.org. Este ataque particular afetou o Internet Backbone por varias hora durante a manha de 25 de Janeiro de 2003. W4.2 Sistemas Operacionais Afetados Qualquer systems Microsoft Windows com o Microsoft SQL/MSDE Server 7.0, Microsoft SQL/MSDE Server 2000 ou Microsoft SQL/MSDE Server Desktop Engine 2000 instalados, bem como qualquer sistema que use o motor MSDE separadamente.

W4.3 Referncias CVE/CAN CVE-1999-0999, CVE-2000-0202, CVE-2000-0402, CVE-2000-0485, CVE-20000603,CVE-2001-0344, CVE-2001-0879 CAN-2000-0199, CAN-2000-1081, CAN-2000-1082, CAN-2000-1083, CAN-20001084,CAN-2000-1085, CAN-2000-1086, CAN-2000-1087, CAN-2000-1088, CAN-20001209,CAN-2001-0509, CAN-2001-0542, CAN-2002-0056, CAN-2002-0154, CAN-20020186,CAN-2002-0187, CAN-2002-0224, CAN-2002-0624, CAN-2002-0641, CAN-20020642,CAN-2002-0643, CAN-2002-0644, CAN-2002-0645, CAN-2002-0649, CAN-20020650,CAN-2002-0695, CAN-2002-0721, CAN-2002-0729, CAN-2002-0859, CAN-20020982,CAN-2002-1123, CAN-2002-1137, CAN-2002-1138, CAN-2002-1145, CAN-20030118 W4.4 Como determinar se voc est vulnervel A Microsoft publicou um conjunto de ferramentas de segurana em http://www.microsoft.com/sql/downloads/securitytools.asp. O toolkit se chama SQL Critical Update Kit e cotem ferramentas teis tais como o SQL Scan, SQL Check, e SQL Critical Update. Chip Andrews da sqlsecurity.com publicou uma ferramenta chamada SQLPingv2.2. Esta ferramenta envia um pacote UDP de um nico byte (valor do byte 0x02) porta 1434 de um host especifico ou a uma subrede inteira. Os servidores SQL Servers atendendo na porta UDP 1434 respondero divulgando detalhes de sistema tais como um nmero de verso, instancias, etc. SQLPingv2.2 considerada uma ferramenta de escaneo e descobrimento muito semelhante a Microsoft's SQL Scan, e no comprometer mais o seu sistema e a segurana de rede. Ferramentas adicionais de

segurana SQL podem ser encontradas no site de Chip Andrews em SQL/MSDE Security Web site. W4.5 Como se proteger Sumrio: 1. Desabilite o SQL/MSDE Monitor Service na porta UDP 1434. 2. Aplique o ltimo service pack para o Microsoft SQL/MSDE server e/ou MSDE 2000. 3. Aplique o ultimo patch cumulativo que esteja disponvel depois do ltimo service pack. 4. Aplique todos os patches individuais que estejam disponveis depois do ltimo patch cumulativo. 5. Habilite SQL Server Authentication Logging. 6. Proteja o servidor a nvel de sistema e de rede. 7. Minimize os privilgios do servio MSSQL/MSDEServer e do SQL/MSDE Server Agent. Detalhes: 1. Desabilite o SQL/MSDE Server Monitor na porta UDP 1434. Isto pode ser facilmente realizado instalando e usando a funcionalidade dentro do SQL Server 2000 Service Pack 3a. O motor de base de dados MSDE 2000 da Microsoft apresenta duas vulnerabilidades de buffer overflow que podem ser exploradas por um atacante remoto sem nunca haver autenticado com o servidor. O que piora ainda mais estes problemas que o ataque se canaliza por UDP. Sempre que o processo MSDE 2000 roda no contexto de segurana de um usurio de domnio ou da conta local SYSTEM, a explorao exitosa destas falhas de segurana pode significar um compromisso total do sistema destino. O MS-SQL/MSDE Slammer envia um pacote UDP de 376 bytes porta 1434 usando destinatrios aleatrios a uma velocidade muito alta. Os sistemas comprometidos imediatamente comeam a enviar pacotes idnticos de 376 bytes quando se infectam. O worm envia trfego a endereos IP aleatrios, incluindo endereos IP de multicast, causando um Denial of Service na rede destino. Computadores infectados individualmente reportaram trfego excedido por 50 Mb/sc depois de haver sido infectados. 2. Aplique o ltimo service pack para o Microsoft SQL/MSDE server e MSDE 2000. A verso atual do service pack do Microsoft SQL/MSDE Server : o SQL/MSDE Server 7.0 Service Pack 4 o MSDE/SQL Server 2000 Service Pack 3a Assegure-se que voc esta ao dia com qualquer upgrade futuro monitorando Make Your SQL/MSDE Servers Less Vulnerable na Microsoft TechNet. 3. Aplique o ltimo patch cumulativo que esteja disponvel depois do ltimo service pack. O patch cumulativo atual para todas as verses do SQL/MSDE/MSDE Server

est disponvel em MS02-061 Elevation of Privilege in SQL/MSDE Server Web Tasks (Q316333/Q327068). Para assegurar que voc est ao dia com qualquer futuro upgrade, pode checar o ltimo patch cumulativo do Microsoft SQL/MSDE Server em: o Microsoft SQL/MSDE Server 7.0 o Microsoft SQL Server 2000 o MSDE Server Desktop Engine 2000 (MSDE 2000)

4. Aplique todos os patches individuais que estejam disponveis depois do ltimo patch cumulativo. Atualmente no h patch individual posterior ao lanamento do MS02-061 Elevation of Privilege in SQL/MSDE Server Web Tasks (Q316333/Q327068). Porm, para ter certeza que voc esta ao dia com qualquer upgrade futuro, voc pode checar se h algum patch individual recentemente publicado em: o Microsoft SQL/MSDE Server 7.0 o Microsoft SQL Server 2000 o MSDE Server Desktop Engine 2000 (MSDE 2000)

5. Habilite SQL Server Authentication Logging. O SQL Server Authentication Logging geralmente no esta habilitado. Isto pode ser feito atravs do Enterprise Manager (Server properties; tab Security). 6. Proteja o servidor aos nveis de sistema y de rede. Uma das exposies do MSSQL/MSDE mais atacadas que a conta administrativa default (conhecida como "sa") se instala com uma senha em branco. Se a conta "sa" do seu SQL/MSDE no estiver protegida por uma senha, voc certamente no ter segurana e poder ser atacado por worms e outros exploits. Portanto voc deveria seguir a recomendao do tpico "System Administrator (SA) Login" no SQL/MSDE Server Books Online para assegurar-se que a conta predefinida "sa" tem uma senha forte, mesmo que seu servidor SQL/MSDE no rode utilizando esta conta. Microsoft Developer's Network tem documentao Changing the SQL Server Administrator Login e Verify and Change the System Administrator Password by Using MSDE. 7. Minimize os privilgios dos servios MSSQL/MSDEServer e SQL/MSDE Server Agent. Rode os servios MSSQL/MSDEServer e SQL/MSDE Server Agent baixo uma conta valida de domnio com mnimos privilgios, no como uma conta de administrador do domnio ou SYSTEMA (no NT) ou LocalSystem (no 2000 ou XP). Um servio comprometido rodando com privilgios locais ou de domnio daria ao atacante completo controle do seu computador e/ou sua rede.

a. Habilite Windows NT Authentication, habilite auditoria de logins exitosos e fracassados, e ento para e reinicie o servio MSSQL/MSDEServer. Se for possvel, configure os clientes para usar NT Authentication. b. Deveriam filtrar-se os pacotes na borda da rede para proibir conexes de entrada/sada no-autorizadas aos servios especficos MSSQL. Filtrado de entrada/sada para as portas 1433 e 1434 poderiam impedir atacantes internos ou externos de escanear e/ou infectar servidores vulnerveis Microsoft SQL/MSDE na sua rede ou na rede de outros que no esto explicitamente autorizados para fornecer servios pblicos SQL/MSDE. c. Se as portas TCP/UDP 1433 e 1434 necessitam estar disponveis nos gateways de Internet, habilite e configure filtros de entrada/sada para impedir o mau uso desta porta. Informao adicional sobre como proteger o Microsoft SQL/MSDE Server pode ser encontrada em Microsoft SQL/MSDE Server 7.0 Security Microsoft SQL/MSDE Server 2000 Security

back to top ^ W5 Autenticao W5.1 Descrio Passwords, passphrases e security codes sao usados em virtualmente toda intercao entre usuarios e sistemas de informacao. A maioria das formas de autenticacao, bem com protecao de dados e arquivos, se basea em senhas provistas pelos usuarios. Como o acesso autenticado exitoso normalmente no registrado nos logs, ou se o provavelmente no causam suspeitas, uma senha comprometida uma oportunidade de explorar um sistema desde dentro e completamente despercebido. Um atacante teria completo acesso a qualquer recurso disponvel para esse usurio, e estaria significantemente mais perto de estar em condies de acessar contas de outros, computadores das proximidades, e ate mesmo privilgios administrativos. Apesar dessa ameaa, as contas com senhas no apropriadas ou em branco permanecem extremamente comuns, e so muito poucas as organizaes com boa poltica de senha. As vulnerabilidades relacionadas a senhas mais comuns so: As contas de usurios tm senhas fracas ou inexistentes Independente do nvel de resistncia que tenha a senha, os usurios falham em proteg-la. O sistema operacional ou software adicional cria contas administrativas com senhas fracas ou inexistentes. Os algoritmos de hashing de senhas so conhecidos e com freqncia so armazenados de tal maneira que so visveis por qualquer pessoa. A melhor e mais apropriada defesa contra isto o uso de uma forte poltica de senhas que inclua instrues detalhadas para os bons hbitos e verificao proativa da integridade das senhas.

Microsoft Windows no armazena ou transmite senhas em texto claro se utiliza um hash da senha para a autenticao. O Hash um resultado de tamanho fixo obtido pela aplicao de uma funo matemtica (o algoritmo de hashing) uma quantidade

arbitrria de dados (tambm conhecido como message digest). (MSDN Library) H trs algoritmos de autenticao de Windows: LM (o menos seguro e mais compatvel); NTLM e NTLMv2 (o mais seguro e menos compatvel). Apesar de que a maioria dos ambientes Windows atuais nao necessita do suporte para LAN Manager (LM), Microsoft Windows por default armazena localmente os hashes LM legacy das senhas (tambm conhecidos como hashes LANMAN) nos sistemas Windows NT, 2000 e XP (mas no no Windows 2003). Como LM usa um esquema de criptografia muito mais fraco que outros mecanismos mais recentes da Microsoft (NTLM e NTLMv2), as senhas LM podem ser descobertas em um muito curto perodo de tempo. Inclusive senhas que foram consideradas fortes podem ser despedaadas por fora-bruta em menos de uma semana com o hardware atual. http://msdn.miscrosoft.com/library/default.asp?url=/library/en-us/security/ Security/h_gly.asp A debilidade dos hashes LM se deve a: As As As As senhas senhas senhas senhas so so so so truncadas em 14 caracteres. completadas com espaos para que totalizem 14 caracteres. convertidas a caracteres todos maisculos. divididas em duas partes de sete caracteres.

Este processo de hashing significa que um atacante necessita somente completar a tarefa trivial de quebrar duas senhas de sete caracteres, todos maisculos, para conseguir acesso autenticado ao seu sistema. Como a complexidade de quebrar hashes aumenta geometricamente com o comprimento do hash, cada string de sete caracteres pelo menos uma ordem de grandeza mais fcil de atacar por fora-bruta do que seria uma string combinada de catorze caracteres. J que todas as strings so de sete caracteres (incluindo os espaos) e inteiramente maiscula, se simplifica tambm um ataque do tipo dicionrio. Portanto o mtodo de hashing LM arruna completamente boas polticas de password. Alem do risco que se corre por ter hashes legacy LM armazenados na SAM, o processo de autenticao LAN Manager freqentemente esta habilitado por default nos clientes e aceitado pelos servidores. Como resultado, os computadores Windows capazes de utilizar algoritmos de hash mais fortes em lugar disso enviam hashes LM fracos pela rede, fazendo com que a autenticao Windows seja vulnervel ao eavesdropping por packet sniffing, e portanto facilitando os esforos de um atacante para obter e craquear senhas de usurios.

W5.2 Sistemas Operacionais Afetados Todos os sistemas operacionais da Microsoft.

W5.3 Referncias CVE/CAN CVE-2000-0222 CAN-1999-0504, CAN-1999-0505, CAN-1999-0506

W5.4 Como determinar se voc est vulnervel Apesar de que h sintomas observveis de debilidades gerais relacionadas com as senhas, tais como a existncia de contas ativas de usurios que j deixaram a organizao ou servios que j no esto rodando mais, a nica maneira de saber com certeza que cada senha individual forte testando-as com a mesma ferramenta de cracking que utilizam os atacantes. Nota: Nunca execute um escaneador de password, nem mesmo em sistemas para os quais voc tem acesso administrativo, sem permisso explicita e de preferncia escrita do seu empregador. Administradores com a melhor das intenes foram despedidos por executar password cracking tools sem a autoridade para faz-lo. Algumas das melhores ferramentas de cracking esto disponveis em: LC4 (l0phtcrack version 4) e John the Ripper Com respeito ao problema do armazenamento local do hash LAN Manager: Se voc esta rodando uma instalao default do NT, 2000 ou XP, voc est vulnervel j que os hashes do LAN Manager so armazenados localmente por default. Se voc tem sistemas operacionais legados no seu ambiente que requerem autenticao LM para poder comunicar com os servidores, ento voc este vulnervel porque aqueles computadores enviam os hashes LM que podem ser capturados na rede.

W5.5 Como se proteger A melhor e mais apropriada defesa contra debilidades de senhas uma forte politica que inclua instrues detalhadas para gerar bons costumes de uso de senhas e checar proativamente a integridade das mesmas. Assegure-se que as senhas so consistentemente fortes. Dados o suficiente hardware e o suficiente tempo, qualquer senha pode ser craqueada por fora-bruta. Mas existem mtodos mais simples e prsperos de conhecer senhas sem tais custos. Os password crackers empregam o que conhecido como um ataque de estilo-dicionrio. Visto que os mtodos de criptografia so conhecidos, os utilitrios de cracking simplesmente comparam a forma criptografada de uma senha com a forma criptografada das palavras do dicionrio (em vrios idiomas), nomes prprios, e permutaes de ambos. Por essa razo uma senha cuja raiz de alguma maneira se assemelha a uma palavra conhecida ela altamente suscetvel de um ataque de dicionrio. Muitas organizaes instruem os usurios a gerar senhas incluindo combinaes de caracteres alfanumricos e caracteres especiais, e os usurios muitas vezes se aderem recomendao tomando uma palavra ("password") e convertendo letras a nmeros ou caracteres especiais ("pa$$w0rd"). Tais permutaes no protegem contra um ataque de dicionrio: "pa$$w0rd" tem a mesma probabilidade de ser quebrada que "password." Uma boa senha conseqentemente no pode ter uma palavra ou nome prprio como sua raiz. Uma forte poltica de senhas deveria guiar os usurios a gerar senhas a partir de algo mais aleatrio, como uma frase ou o titulo de um livro ou musica. Atravs da concatenao de uma string comprida (tomando a

primeira letra de cada palavra, ou substituindo um carter especial para uma palavra, removendo vogais, etc.), os usurios podem gerar string suficientemente compridas que combinem caracteres alfanumricos e especiais em uma forma na qual o ataque de dicionrio ser muito mais difcil de quebrar. E se a string fcil de lembrar, ento a senha tambm o deveria ser. Quando os usuarios tenham as instrucoes apropriadas para gerar boas senhas, se deveriam estabelecer procedimentos para assegurar que as instrues sejam seguidas. A melhor maneira de lograr isto validando a senha toda vez que o usurio a muda e utilizando Passfilt (NT4). O Windows 2000, XP, 2003 tem ferramentas potentes para fazer cumprir a poltica de senhas. Para ver sua poltica atual de senhas na maioria dos sistemas Windows, siga estes passos: Start - Programs - Administrative Tools Local Security Policy - selecione Account Policies - Password Policy. A Local Security Policy tem os seguintes parmetros: Password must meet complexity requirements. Determina se as senhas devem satisfazer requerimentos de complexidade. Os requerimentos de complexidade so impostos quando se muda a senha ou durante sua criao. Se esta poltica esta habilitada, as senhas devem satisfazer os seguintes requerimentos mnimos: o No conter parte ou todo o nome de conta do usurio o Ser de ao menos seis caracteres o Conter caracteres de trs das seguintes quarto categorias: Caracteres maisculos do Ingls (A at Z) Caracteres minsculos do Ingls (a at z) Dgitos do sistema decimal (0 at 9) Caracteres no alfanumricos (e.g., !, $, #, %)

Enforce password history (intervalo: 0-24): Determina o nmero de senhas nicas que tem que estar associadas com uma conta de usurio antes que uma senha anterior possa ser reutilizada. Este valor deve estar entre 0 e 24 senhas. Configurando este parmetro em 0 passwords remembered habilita o reciclado de senhas; configurando-o em 24 passwords remembered requer 24 mudanas de senha antes que a senha inicial possa ser reciclada. Esta poltica permite aos administradores melhorar a segurana assegurando-se que senhas anteriores no so utilizadas continuamente. Para manter a eficcia da password history, no permita que as senhas possam ser modificadas imediatamente configurando a minimum password age. Maximum password age (intervalo: 0-999 dias): Determina o perodo de tempo (em dias) que uma senha pode ser utilizada antes que o sistema requeira ao usurio que a mude. Voc pode configurar a expirao das senhas entre 1 e 999 dias, ou pode especificar que elas nunca expiram configurando o numero de dias em 0. Minimum password age (intervalo: 0-999 dias): Determina o perodo de tempo (em dias) que uma senha deve ser usada antes que o usurio possa mud-la. Voc pode configurar este valor entre 1 e 999 dias, ou pode permitir

mudanas imediatamente configurando o numero de dias em 0. O perodo de vida mnimo da senha deve ser menor que o perodo de vida mximo. Configure o minimum password age com um numero maior do que 0 se voc deseja que o Enforce password history seja eficaz. Sem o minimum password age, os usurios podem mudar suas senhas em ciclos repetidamente at consiguir usar uma antiga senha favorita. A configurao default no segue esta recomendao, de maneira que um administrador pode especificar uma senha para um usurio e ento requerer que o usurio mude essa senha definida pelo administrador quando ele inicie sesso. Se a password history este configurada em 0, o usurio no ter que escolher uma nova senha. Por essa razo, a password history este configurada em 1 por default. Minimum password length (intervalo: 0-14 caracteres): Determina o menor numero de caracteres que pode ter uma senha para uma conta de usurio. Voc pode configurar este valor entre 1 e 14 caracteres, ou estabelecer que a senha no se exigira um comprimento mnimo configurando o numero de caracteres em 0. Minimum password length deveria satisfazer a poltica de segurana corporativa (seno se recomenda que se configure em 8 ou mais caracteres; a National Security Agency (NSA) recomenda 12 caracteres). Store password using reversible encryption para todos os usurios do domnio: Determina se o Windows 2000, 2003 e XP Professional armazenam as senhas usando criptografia reversvel. Esta poltica proporciona o suporte para aplicativos usando protocolos que requerem o conhecimento da senha do usurio para propsitos de autenticao. Storing passwords using reversible encryption essencialmente o mesmo que armazenar as senhas em texto plano. Por esta razo, esta poltica nunca deveria ser habilitada a menos que requerimentos de aplicativos tenham mais importncia que a necessidade de proteger a informao das senhas.

Uma das maneiras de gerar automaticamente e assignar senhas complexas s contas de usuarios como se explica a seguir execute o seguinte commando (desde um prompt do Windows NT4, 2000, XP, 2003): Net user username /random A execuo deste comando designar uma senha complexa aleatria (mas sempre de 8-caracteres de comprimento) uma conta e mostrar essa senha no display. Este mtodo normalmente mais apropriado para designar senhas a contas de servios, antes que a usurios reais. A melhor maneira de revisar a qualidade das senhas executar utilitrios do tipo password cracking em modo stand-alone como parte de uma rotina de escaneo. Nota Importante: Nunca execute um escaneador de password, nem mesmo em sistemas para os quais voc tem acesso administrativo, sem permisso explicita e de preferncia escrita do seu empregador. Administradores com a melhor das intenes foram despedidos por executar password cracking tools sem a autoridade para faz-lo. Quando tenha autoridade para executar cracking utilities no seu sistema, faca-o regularmente em um computador protegido. Os usurios para os quais as senhas

foram quebradas deveriam ser notificados confidencialmente e instrudos de como escolher uma boa senha. Os administradores e a gerencia deveriam desenvolver estes procedimentos conjuntamente de maneira que a gerencia possa proporcionar assistncia quando os usurios no respondam a estas notificaes. Outra maneira de proteger contra senhas inexistentes ou fracas utilizando alguma forma alternativa de autenticao, tais como password-generating tokens ou biomtrica. 1. Proteja as senhas fortes. Mesmo quando as senhas em si so fortes, as contas podem ser comprometidas se os usurios no protegem suas senhas. Uma boa poltica deveria incluir instrues como que o usurio nunca diga sua senha a ningum mais, nunca escreva a senha onde ela poderia ser vista por outros, e proteja apropriadamente qualquer arquivo onde a senha est armazenada para automatizao de autenticao ( mais fcil proteger as senhas quando esta pratica se usa somente se absolutamente necessria). Deveria-se fazer cumprir o tempo de vida das senhas para que qualquer senha que no respeite estas regras seja vulnervel somente por um determinado perodo de tempo, e uma senha antiga no deveria ser utilizada. Assegure-se de que os usurios sejam avisados e tenham a oportunidade de mudar suas senhas antes que elas expirem. Quando encontram uma mensagem como "Sua senha expirou e deve ser mudada", os usurios tendem a escolher senhas ruins. 2. Controle firmemente as contas. o Todas as contas de servio ou contas administrativas que no estejam em uso deveriam ser desabilitadas ou removidas. As contas de servio ou administrativas deveriam receber senhas novas e fortes. o Faca uma auditoria das contas nos seus sistemas e crie uma lista principal. No se esquea de checar senhas em sistemas como roteadores e impressoras digitais conectadas a Internet, copiadoras e print servers. o Desenvolva procedimentos para adicionar contas autorizadas lista, e para remover contas quanto estas j no estejam mais em uso. o Valide a lista regularmente para assegurar-se que novas contas foram adicionadas e que as contas no utilizadas foram removidas.. o Tenha procedimentos firmes para remover contas quando os empregados ou fornecedores deixam a instituio ou quando as contas j no so mais necessrias.

3. Mantenha uma strong password policy para a corporao. Ademais dos controles de sistemas operacionais e de servios da rede, h muitas ferramentas completas disponveis para ajudar a administrao de polticas de senhas. Muitos modelos de polticas de exemplo, normas de desenvolvimento de polticas, fundamentos de segurana de senhas, e links muitos sites relacionados a poltica de segurana (que inclui informao sobre poltica de senhas) podem ser encontrados no site SANS Security Policy Project . 4. Desabilite a autenticao LM authentication na rede. O melhor substituto para a autenticavcao LAN Manager no Windows o is NT LAN Manager version 2 (NTLMv2). Os mtodos do NTLMv2 desafio/resposta superam muitas das debilidades no LM utilizando para isso criptografia mais forte e autenticacao

melhorada e mecanismos de segurana de sesso. A chave do registro que controla esta capacidade em ambos Windows NT e 2000 : Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\LSA Value: LMCompatibilityLevel Value Type: REG_DWORD - Number Valid Range: 0-5 Default: 0 Description: Este parmetro especifica o tipo de autenticao que se vai utilizar. 0 1 2 3 4 5 Envia resposta LM e resposta NTLM; nunca usa segurana de sesso NTLMv2 Usa segurana de sesso NTLMv2 se negociada Envia somente autenticao NTLM Envia somente autenticao NTLMv2 - DC no aceita autenticao LM - DC no aceita autenticaes LM nem NTLM (aceita somente NTLMv2)

No Windows 2000, 2003, e XP a mesma funcionalidade pode ser implementada configurando o parmetro LAN Manager authentication level (Windows 2000) ou Network security: LAN Manager authentication level (Windows XP, 2003) (Start Programs - Administrative Tools - Local Security Policy - Local Policies - Security Options). Se todos os seus sistemas so Windows NT SP4 ou posterior, voc poderia configurar este parmetro em 3 em todos os clientes e em 5 em todos os controladores de domnio para impedir qualquer transmisso de hashes pela rede. Entretanto, sistemas legados (tais como Windows 95/98) no usaro NTLMv2 com o default Microsoft Network Client. Para lograr a capacidade NTLMv2, instale o Directory Services Client. Uma vez instalado, o nome do valor do registro "LMCompatibility," e os valores permitidos so 0 ou 3. Se voc no puder forar os clientes legados a usar NTLMv2, poder obter uma ligeira melhora sobre o LM hashing forando NTLM (NT Lan Manager, version 1) no controlador de domnio (configure LMCompatibilityLevel em 4 ou se usar Local Security Policy configure LAN Manager authentication level com o valor: Send NTLMv2 Response only\Refuse LM).No obstante a opo mais segura com relao aos sistemas legados migrar os mesmos a plataformas operacionais mais novas, j que os sistemas operacionais mais antigos no permitem o suporte a este nvel mnimo de segurana. 5. Impedir o armazenamento do hash LM. Um problema importante com a simples remoo dos hashes LM que passam pela rede que os mesmos ainda so criados e armazenados na SAM ou no Active Directory. A Microsoft tem um mecanismo disponvel para desabilitar a criao dos hashes LM em conjunto, mas somente no Windows 2000, 2003 e XP. Nos sistemas Windows 2000 (SP2 ou posterior), a seguinte chave do registro controla esta funo: Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\LSA\NoLMHash Se esta chave criada em um Windows 2000 Domain Controller, os hashes

LanMan no sero mais criados e armazenados no Active Directory. No Windows XP e 2003, a mesma funcionalidade pode ser implementada habilitado o parmetro Network security: Do not store LAN Manager hash value on next password change (Start - Programs - Administrative Tools - Local Security Policy Local Policies - Security Options). Depois de fazer estas modificaes o sistema deve ser reiniciado para que as mesmas entrem em vigncia. Nota Importante: Isto somente impede que se gerem novos hashes LM. Os hashes LM existentes sero removidos individualmente a prxima vez que o usurio mude sua senha.

6. Impedir a copia dos hashes de senhas e da SAM database. As Password cracking tools, mencionada nesta seo, obtm os hashes de senhas atravs de: o Sniffing de senhas na rede. Contramedidas: 1. Use switches como dispositivos de rede; 2. Deteco e remoo de placas de rede em modo promiscuo (elas podem ser detectadas pela maioria das ferramentas comerciais de avaliao de seguranas, bem como algumas ferramentas grtis tais como o ethereal). o Copia do arquivo SAM (localizado na pasta %SystemRoot%\System32\Config\ - normalmente est em C:\Winnt\System32\Config\ - no Windows NT4 e 2000 ou C:\Windows\System32\Config\ - no Windows XP e 2003). Este arquivo normalmente est bloqueado pelos SO Windows e podem ser copiados somente quando se roda um sistema operacional alternativo. O arquivo SAM tambm pode ser obtido restaurando um backup do arquivo SAM ou restaurando o System State (Windows 2000, 2003, XP). O arquivo SAM tambm est localizado no NT4 Repair Disk.

Contramedidas: Limite e monitore o acesso fsico aos computadores (especialmente domain controllers), backup media e Repair Disk. Os seguintes artigos de Microsoft proporcionam referencias teis: o How to Disable LM Authentication on Windows NT [Q147706] detalha as modificaes requeridas no registro para o Windows 9x e Windows NT/2000. MS03-034 : Flaw in NetBIOS Could Lead to Information Disclosure (824105) LMCompatibilityLevel and Its Effects [Q175641] explica os problemas de interoperabilidade com este parmetro. How to Enable NTLMv2 Authentication for Windows 95/98/2000/NT [Q239869] explica como usar o Windows 2000's Directory Services Client for Windows 95/98 para superar a limitao de compatibilidade do NTLMv2.

o o o

New Registry Key to Remove LM Hashes from Active Directory and Security Account Manager

back to top ^ W6 Web Browsers W6.1 Descrio O Browser o meio pelo qual um usurio de computador acessa a web nos sistemas Microsoft Windows. O web browser dominante o Microsoft Internet Explorer (IE), o qual o web browser default instalado nas plataformas Microsoft Windows. Outros Web browsers incluem Mozilla, Firefox, Netscape e Opera. A ltima verso do IE a 6, e ser a verso discutida aqui. As vulnerabilidades discutidas aqui tambm so aplicveis ao Mozilla verses 1.4 - 1.7.1, Firefox verso 0.9.x, Netscape verso 7.x, e Opera verso 7.x. Os problemas so seis: 1. 2. Um grande numero de vulnerabilidades ao longo dos ltimos anos em comparao com outros browsers 153 vulnerabilidades do IE desde Abril de 2001, de acordo com o Security Focus Archive. Muito tempo para dispor de um patch para vulnerabilidades conhecidas do E Os usurios tiveram que esperar at seis meses a partir do momento em que a vulnerabilidade conhecida e a Microsoft emite o patch correspondente. Active X e Active Scripting do IE As vulnerabilidades do IE, em particular o uso de ActiveX, foram capazes no passado de enganar os mecanismos de segurana do sistema operacional para comprometer computadores host. Grande numero de vulnerabilidades sem patch 34, de acordo a http://umbrella.name/originalvuln/msie/ Vulnerabilidades de Spyware/Adware Isto afeta todos os browsers, mas o IE mais vulnervel que os outros browsers. Integrao do IE no kernel do SO, o qual faz com que o sistema operacional seja mais vulnervel explorao.

3. 4. 5. 6.

Outros browsers tambm tem tido problemas, mas nenhum ao mesmo nvel do IE. Um projetista de web malicioso pode criar pages para explorar as vulnerabilidades do Internet Explorer enquanto simplesmente se navega pelas mesmas. Um exemplo destacvel disso a vulnerabilidade Download.Ject. A vulnerabilidade esteve presente durante vrios meses, e utilizava vulnerabilidades Active X. Inclusive depois de que um se publicou um exploit em June 8, 2004, nenhum patch para o IE foi liberado ate Julho de 2004. Devido combinao de ActiveX, scripting, e sua integrao com o sistema operacional Windows, o Internet Explorer mais vulnervel a ataques que muitos outros browsers. As conseqncias disso podem incluir a revelao de cookies, arquivos locais ou dados, execuo de programas locais, download e execuo de cdigo arbitrrio, ou possesso completa do sistema vulnervel. W6.2 Sistemas Operacionais Afetados Estas vulnerabilidades existem nos sistemas Microsoft Windows rodando qualquer verso destes browsers. importante notar que o IE se instala com uma grande variedade de software de Microsoft e portanto est geralmente presente em todos os sistemas Windows, mesmo quando o usurio poderia no quer instal-lo ou utiliz-lo. Todos os outros browsers so instalados de acordo vontade do usurio, e o usurio decide se o browser ser utilizado por outros aplicativos.

W6.3 Vulnerabilities de Browser, cortesia de Secunia A. Internet Explorer: 2004 - 15 Security Advisories (No dia 30 de Julho de 2004) Microsoft Internet Explorer Multiple Vulnerabilities 1. Internet Explorer Frame Injection Vulnerability 2. 3. Internet Explorer File Download Error Message Denial of Service Weakness Internet Explorer Security Zone Bypass and Address Bar Spoofing Vulnerability 4. 5. Internet Explorer Local Resource Access and Cross-Zone Scripting Vulnerabilities 6. Microsoft Internet Explorer and Outlook URL Obfuscation Issue 7. Windows Explorer / Internet Explorer Long Share Name Buffer Overflow 8. Microsoft Outlook Express MHTML URL Processing Vulnerability 9. Internet Explorer/Outlook Express Restricted Zone Status Bar Spoofing 10. Multiple Browser Cookie Path Directory Traversal Vulnerability 11. Internet Explorer Cross Frame Scripting Restriction Bypass 12. Internet Explorer File Identification Variant Internet Explorer Travel Log Arbitrary Script Execution Vulnerability 13. 14. Internet Explorer File Download Extension Spoofing Internet Explorer showHelp() Restriction Bypass Vulnerability 15. B. 2004 1. 2. 3. 4. 5. 6. 7. D. 2004 1. 2. E. 2004 1. 2. 3. 4. 5. 6. 7. 8. Mozilla - 7 Secunia Advisories Mozilla Fails to Restrict Access to "shell:" Mozilla XPInstall Dialog Box Security Issue Multiple Browsers Frame Injection Vulnerability Mozilla Browser Address Bar Spoofing Weakness Mozilla / NSS S/MIME Implementation Vulnerability Multiple Browser Cookie Path Directory Traversal Vulnerability Mozilla Cross-Site Scripting Vulnerability Netscape - 2 Secunia Security Advisories Mozilla Fails to Restrict Access to "shell:" Multiple Browsers Frame Injection Vulnerability Opera - 8 Secunia Security Advisories Opera Browser Address Bar Spoofing Vulnerability Multiple Browsers Frame Injection Vulnerability Opera Address Bar Spoofing Security Issue Opera Browser Favicon Displaying Address Bar Spoofing Vulnerability Multiple Browsers Telnet URI Handler File Manipulation Vulnerability Opera Browser Address Bar Spoofing Vulnerability Multiple Browser Cookie Path Directory Traversal Vulnerability Opera Browser File Download Extension Spoofing

W6.4 Identificao e Proteo contra as Vulnerabilidades do Browser Se voc esta usando o Internet Explorer no seu sistema, no h atualmente maneira

de saber si voc est vulnervel devido ao grande numero existente de vulnerabilidades que no contam com um correspondente patch. Entretanto, deveria visitar o Windows Update Site periodicamente para assegurar-se de que o IE se encontre protegido das vulnerabilidades para as quais existem patches disponveis. Os usurios interessados em aumentar a proteo contra as vulnerabilidades do browser deveriam considerar as seguintes opes: a. Considerar browsers alternativos que no utilizam ActiveX. A maioria dos sites de Internet nao usa o ActiveX. J que o web site do Windows Update (o qual usa ActiveX) se v afetado por esta abordagem, tente em seu lugar utilizar as caractersticas de Automatic Updates. Outras opes de atualizao incluem o uso de Shavliks HFNetChkPro ou o Microsoft Baseline Security Analyzer (MBSA) para lograr o mesmo. Ferramentas on-line de anlise para o Internet Explorer, tal como o Qualys Browser Check tambm podem ser de muita utilidade para avaliar o estado de segurana do IE nos seus sistemas. b. Se a opo a. resulta ser difcil de implementar em um ambiente corporativo devido ao use de ActiveX na intranet, considere o uso do Internet Explorer para a intranet, e um browser alternativo para o acesso a Internet. c. Se o uso de um browser alternativo no e uma opo vivel, considere desabilitar o ActiveX por completo exceto para applets ActiveX internos que podem ser pr-instalados no computador. A Microsoft proporciona uma maneira de parar de executar o controle ActiveX no Internet Explorer. Outros Browsers no possuem as ferramentas automatizadas que esto disponveis para o Internet Explorer. Se est usando Mozilla/Firefox, Netscape ou Opera voc deveria averiguar nos seus respectivos web sites (http://www.mozilla.org, http://www.netscape.com, http://www.opera.com), ou http://umbrella.name/index.html) informao das vulnerabilidades descobertas e seus fixes. W6.5 Como proteger o Internet Explorer To configure the Security settings for Internet Explorer: 1. Selecione Internet Options no menu Tools. 2. Selecione o Security tab e ento clique Custom Level for the Internet zone. A maioria das falhas no IE so exploradas atravs de Active Scripting ou ActiveX Controls. 3. Em Scripting, selecione Disable para Allow paste operations via script para impedir que o contedo do seu clipboard fique exposto. Nota: Desabilitando o Active Scripting pode fazer com que alguns web sites no funcionem apropriadamente. Os controles ActiveX no so to populares mas so potencialmente mais perigos, j que permitem um maior acesso ao sistema. 4. Selecione Disable para Download signed ActiveX