Explique cómo se atacan los servidores de Windows?

El término pirata informático originalmente se refiere a expertos en computación que están entusiasmados con la tecnología informática, especialmente los programadores informáticos, especialmente los programadores. Pero hoy en día, el término hacker se ha utilizado para referirse a aquellos que se especializan en el uso de redes de computadoras para hacer daño o hacer daño. Cuando escuchamos la palabra hacker, generalmente pensamos en complejas técnicas misteriosas, y solo unas pocas personas en el mundo pueden realizarla. Sin embargo, esto es un factor engañoso y un factor importante en la popularidad de los hackers de hoy.

De hecho, las intrusiones en el servidor son menos complicadas. Los hackers pueden mostrar sus "habilidades locas", pero estas personas no son lo que realmente nos tiene que preocupar. Por el contrario, generalmente son los que tienen poca habilidad y hacen juicios erróneos los que causan la mayoría de los problemas. De hecho, estas personas ahora están en muchas redes en busca de vulnerabilidades explotables.

Cuando se trata de proteger los servidores de Windows de intrusiones, estoy totalmente de acuerdo en centrarme primero en los objetivos que son fáciles de alcanzar. Recuerda, esta es la debilidad de seguridad más básica que cada vez que tocas. En el artículo anterior, presenté algunas de las razones de las vulnerabilidades de seguridad de Windows. Ahora veamos dos debilidades comunes en los servidores de Windows y describamos cómo se implementan.

Los parches faltantes conducen a indicaciones de comando remotas

La aplicación de parches es muy incómoda y desea que la mayoría de los servidores de Windows puedan actualizarse en los parches. Pero por lo general no es el caso. La administración inconsistente de parches es la principal causa de debilidad en los servidores de Windows.

Aquí se explica cómo usar un servidor de Windows no parcheado para realizar un ataque:

Un atacante ejecuta un análisis de vulnerabilidad gratuito desde el exterior o (más comúnmente) en la red. Herramientas para encontrar parches faltantes. El atacante confirmó que esta debilidad puede ser explotada usando la herramienta gratuita Metasploit. El atacante inicia Metasploit y obtiene un indicador de comando remoto.

El atacante configura una cuenta de usuario de puerta trasera y se agrega al grupo de administradores locales. El atacante tiene acceso total al sistema, como inicio de sesión local, escritorio remoto, VPN, etc. Nadie más notará su existencia. El uso compartido inseguro de la red conduce a un acceso no autorizado a los archivos. Compartir archivos en la red es una de las funciones básicas de un servidor Windows.

Sin embargo, este también es un talón de Aquiles, que permite a los usuarios "confiables" acceder sin autorización. A veces, los empleados hacen clic en el Explorador de Windows para aburrir, curar o vengarse, y se encuentran con información confidencial a la que no deberían poder acceder.

Estos son los pasos de "piratería" para explotar un recurso Windows inseguro:

Un atacante ejecuta una herramienta de análisis compartida gratuita (como GFILANguard) en la red y la descubre en un servidor Windows. La gran mayoría de la información compartida, la mayoría de las cuales tiene el control total de la autoridad para todos. El atacante encuentra la información que necesita haciendo clic en estos recursos compartidos.

Un atacante podría encontrar accidentalmente información confidencial o podría descargar e instalar una herramienta de búsqueda gratuita como FileLocatorPro. El atacante inserta algunas palabras clave en la herramienta de búsqueda de este artículo, como " contraseña ", " SSN " o " confidencial ". El atacante encontró hojas de cálculo de Microsoft Excel, documentos de Word, archivos PDF y bases de datos, todos los cuales eran información confidencial de los empleados e información de los clientes que podrían utilizarse con fines ilegales. Una vez más, nadie puede encontrar estos comportamientos.

Con suficientes "adhesividad", los atacantes pueden encontrar contraseñas simples o faltantes en los servidores de Windows, configuraciones débiles de SQL Server y servidores basados ​​en IIS, compartiendo todo el controlador a través de FTP anónimo. Si se puede acceder al servidor físico, un atacante puede reiniciar el servidor de Windows utilizando un CD que contenga Ophcrack o ElcomsoftSystemRecovery. Luego obtienen acceso completo a todas las cuentas de usuario y contraseñas, incluido ActiveDirectoryfilentdis.dit.

Todo el entorno de Windows está expuesto y nadie lo encontrará.

Hay muchas debilidades en el servidor de Windows para hackers externos o expertos maliciosos. Mientras haya suficiente tiempo, pueden convertirse en hackers. Tu tarea es encontrar estas debilidades y tomar precauciones antes de que otros ataquen.

Cuando se trata de proteger los servidores de Windows de intrusiones, estoy totalmente de acuerdo en centrarme primero en los objetivos que son fáciles de alcanzar. Recuerda, esta es la debilidad de seguridad más básica que cada vez que tocas.