Descifrar win2008 vulnerabilidad

La vulnerabilidad de la pantalla azul amenaza el sistema operativo del servidor Windows Server 2008, lo que significa que si la pantalla azul de Windows Server 2008 provocará que el servidor deje de servir … … Actualmente, el código de vulnerabilidad está limitado a un pequeño rango, pero la herramienta de ataque de vulnerabilidades Se ha desarrollado y ahora es para que todos revelen el uso de la vulnerabilidad de la pantalla azul.

Problema: Vulnerabilidad de la pantalla azul de Windows Server 2008

Peligro: Servicio de detención de la pantalla azul del servidor

Crisis: Pantalla azul del servidor oculta

Soy Antiy Lab Las plántulas están lloviendo, y lo que les voy a decir es la vulnerabilidad de la pantalla azul. El nombre oficial de la vulnerabilidad de la pantalla azul es la vulnerabilidad de SMB v2, que no se ha actualizado hasta la fecha límite (se espera que se actualice en la segunda semana de octubre). ¿Qué tan grande es el daño de la vulnerabilidad de la pantalla azul? ¿Es perjudicial para nuestros internautas comunes? La principal amenaza de la vulnerabilidad de la pantalla azul es el uso del servidor Windows Server 2008, que también tiene un cierto impacto en el sistema Vista. Pero ahora los piratas informáticos se han vuelto pragmáticos y no estarán interesados ​​en la participación de mercado de Vista.

El uso de Windows Server 2008 como sistema operativo del servidor es un servidor de correo, un servidor web, un servidor de datos, un servidor de nombres de dominio y similares. Una vez que el servidor esté azul, es probable que el administrador no lo sepa por primera vez ", ya que muchos servidores no están equipados con monitores dedicados, el servidor dejará de funcionar por un tiempo".

Si el servidor web está fuera de servicio, no se puede acceder a todos los sitios web del servidor, si el servidor de correo está fuera de servicio, el correo no se puede enviar en tránsito, si el servidor de datos está fuera de servicio, puede resultar en soporte de datos. Los fallos del sistema, como juegos en línea, banca en línea, etc .; si el servidor de nombres de dominio está fuera de servicio, " puertas de red rotas " se pueden configurar nuevamente.

En 2007, Microsoft lanzó Windows Server 2008, un sistema operativo de servidor de próxima generación que reemplaza a Windows Server 2003. El sistema admite procesadores de varios núcleos con tecnología de 64 bits, virtualización y administración de energía optimizada. Muchos usuarios empresariales han reemplazado el sistema operativo del servidor con este sistema.

Según los datos proporcionados por la firma de investigación de mercado Gartner, la participación de los servidores de Windows se ha incrementado a 66.8% en los servidores distribuidos a nivel mundial en 2007, y Windows Server 2008 representa la corriente principal. De 2008 a 2009, Windows Server 2008 se convirtió en uno de los productos estrella de Microsoft, y su participación está en aumento. Según los datos anteriores, aproximadamente una quinta parte de los servidores del mundo utilizan Windows Server 2008.

Principio: Desbordamiento de SMB

Esta vez, el motivo de la vulnerabilidad de la pantalla azul es que un archivo de controlador llamado SRV2.SYS no puede manejar las solicitudes de estructura de datos mal formadas correctamente. Si un pirata informático crea maliciosamente un mensaje de datos mal formado malintencionado y lo envía a un servidor con Windows Server 2008 instalado, se activa el comportamiento de referencia de memoria fuera de los límites, lo que permite al pirata informático ejecutar código malicioso arbitrario (Figura 1).

Nota: SMB (Server Message Block, también conocido como Common Internet File System) es un protocolo de transmisión de red a nivel de programa de software desarrollado por Microsoft. Su función principal es compartir máquinas en una red. Recursos como archivos de computadora, impresoras, puertos serie y comunicaciones. También proporciona capacidades de comunicación entre procesos certificadas. Se utiliza principalmente en máquinas con Microsoft Windows, que se llama Microsoft Windows Network. SMB v2 es la última actualización del protocolo SMB.

Para hacer una metáfora de la imagen, esto es como un punto de control de un puente. Los inspectores solo estiman si el camión puede pasar el puente en función del tonelaje marcado en el camión. De hecho, el pirata informático puede hacer una sobrecarga. El camión también está marcado con un tonelaje calificado a través del punto de control. Como no hay pesaje real, los inspectores solo se identifican por medio del tonelaje, lo que eventualmente lleva a que la sobrecarga del camión ponga en peligro la seguridad del puente, lo que ocasiona la muerte del puente.

Simulación: Vulnerabilidades en la pantalla azul medida

Paso 1: Prepare el procedimiento de prueba de vulnerabilidad en la pantalla azul (este programa está especialmente diseñado por Antiy Labs, pero como es demasiado dañino, no se puede descargar). Busque y descargue un escáner de puertos en la red. El escáner de puertos L-ScanPort se seleccionó para esta prueba.

Paso 2: abra el escáner de puertos L-ScanPort (Figura 2), ingrese el segmento de red que desea escanear en el campo de la dirección IP, por ejemplo, "192.168.1.1" como segmento de inicio, "192.168" .255.255 " como el segmento final. Luego, busque la "Lista de puertos" en la interfaz del software, verifique el puerto "<quo; 445 "", haga clic en el botón "IR" para escanear.

Si hay 445 puertos abiertos de Windows Server 2008, entonces significa que los hackers pueden lanzar un ataque de pantalla azul. Durante la prueba, preparamos un servidor con Windows Server 2008 e iniciamos el protocolo de uso compartido de SMB. Después de escanear la dirección IP del servidor, estábamos listos para iniciar una prueba de ataque.

Paso 3: En la computadora que juega la parte atacante, abrimos el "Símbolo del sistema", colocamos el programa de prueba en el directorio raíz de la unidad C y luego ingresamos el ataque en el directorio raíz C: \\ > Comando: SMBv2.exe [dirección IP del servidor atacado] (Figura 3).

Corrimos al servidor de prueba atacado lo más rápido posible y vimos la siguiente escena (Figura 4).

Prevención: No hay tal parche contra

Debido a esta vulnerabilidad es actualmente ningún parche, por lo que dar una solución temporal, el administrador debe cerrar manualmente el puerto 139 y el puerto 445 en el cortafuegos Este método puede bloquear todo el tráfico entrante no solicitado de Internet, pero detener el protocolo significa que los usuarios ya no podrán usar los documentos e impresoras compartidos dentro de la red.

Análisis en profundidad

La mayoría de los investigadores de seguridad no creen que la vulnerabilidad solo pueda lograr un efecto de pantalla azul. Por lo que sabemos, este funcionario de Microsoft alguna vez pensó que es imposible implementar otros ataques. Se pueden implementar vulnerabilidades de alto riesgo en la ejecución remota de código. Algunos investigadores de seguridad han descubierto que el nuevo método puede usarse para ejecutar código malicioso desarrollado por piratas informáticos, como puertas traseras y troyanos, y finalmente lograr el propósito de controlar todo el servidor.

Si los piratas informáticos pueden controlar el servidor de intercambio de archivos, significa que los piratas informáticos que roban datos corporativos almacenados en servidores de Windows Server 2008 serán fáciles. La gravedad del incidente está más allá de la imaginación de muchas organizaciones de seguridad. En este momento, tal vez los hackers globales estén analizando frenéticamente la vulnerabilidad, seguido de una tormenta de ataques de gusanos de servidores … … Br>