STATO MAGGIORE DIFESA
Reparto Informazioni e Sicurezza
Ufficio Sicurezza Difesa
BOLLETTINO
DI
SICUREZZA
INFORMATICA
N°5/2002
SISTEMI OPERATIVI : - UNA GRAVE FALLA PER IIS E INTERNET EXPLORER Pag.1
- SHARE LEVEL PASSWORD VULNERABILITY
Pag. 8
- ELIMINARE I COOKIES ALLA PARTENZA DEL
SISTEMA OPERATIVO MICROSOFT WINDOWS
FOCUS ON….: KEYLOGGER
Pag.9
Pag.4
SICUREZZA DELLA RETE: - LE VENTI VULNERABILITA’ PIU’ CRITICHE
PER LA SICUREZZA IN INTERNET
(QUARTA PARTE).
Pag.10
PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904
E-MAIL : [email protected]
UNA GRAVE FALLA PER IIS E INTERNET EXPLORER
Microsoft dà notizia di una falla considerata critica, contenuta nel MDAC (Microsoft
Data Access Components). MDAC è un componente di Windows (nello specifico si identifica
come una libreria di componenti per l’accesso ai dati), utilizzato da molti applicativi, fra cui
IIS (Web Server prodotto dalla Microsoft), e le più recenti versioni di Internet Explorer,
per quanto riguarda tutte le operazioni di accesso ai database. Il problema risiede in un
buffer “unchecked” di uno dei componenti di MDAC e precisamente nell’RDS (Remote Data
Services) il quale permetterebbe l’accesso ai dati da remoto attraverso l’IIS. Questo
accesso, inoltre, consente di manipolare, sempre da remoto, file con estensione .dll ed
.exe.
Per la natura stessa delle componenti MDAC e RDS Internet Explorer può risultare
compromesso da un “malicious web server”, anche se nel system client non sono installate
le componenti MDAC. Alcune versioni di IE (ver. 5.01 – 5.5 – 6.0) le componenti di RDS
vengono manipolate in modo tale di andare in “OVERRUN” e consentire quindi sul sistema
client l’esecuzione di un codice arbitrario. Il problema affligge le versioni 2.1, 2.5 e 2.6 di
MDAC : in sintesi, sono a rischio quasi tutte le versioni di Windows, tranne Windows XP,
che nonostante integri IE 6.0, utilizza la versione 2.7 RTM di MDAC che risulta non
vulnerabile.
Per quanto sopra è necessario dapprima sincerarsi sulla versione MDAC installata sulla
propria macchina, sia essa server o client. Per fare questo esistono due metodi :
1.Verificando le informazioni sulla versione memorizzate nel Registro di sistema
Sebbene non rappresenti il metodo più sicuro per controllare le versione di MDAC,
risulta di più semplice applicazione (nel caso in cui non si siano verificati problemi relativi al
MDAC). Le informazioni sono da ricercare nelle seguenti chiavi:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstaller
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\Version
Versione MDAC
Pagina 1
2. Utilizzando un programma chiamato : “Component Checker”
Il metodo più affidabile per determinare quale versione di MDAC è stata installata, è
quella di confrontare il numero di versione di ogni file DLL di MDAC con un elenco dei
file DLL presenti in ogni versione di MDAC. Il programma “Component Checker” consente
di effettuare questa operazione, controllando i file presenti nel computer,
confrontandoli con un elenco relativo a ogni versione di MDAC e riportando la
corrispondenza più esatta.
Per installare Component Checker, attenersi alla seguente procedura:
1. Visitare il sito web Microsoft (in lingua inglese):
http://www.microsoft.com/data/download.htm#ccinfo
2. Fare clic sul collegamento per effettuare il download di Component Checker. Quando
richiesto, salvare il file Cc.exe (un file eseguibile autoestraente) sul desktop.
3. Sul desktop fare doppio clic sul file Cc.exe. In questo modo, i file di Component
Checker verranno estratti e installati nel percorso predefinito (C:\Comcheck).
Per utilizzare Component Checker e verificare la versione di MDAC in uso, attenersi alla
seguente procedura:
1. Fare clic sul pulsante Start , quindi scegliere Esegui.
2. Fare doppio clic sul file comcheck.exe nella cartella comcheck
3. Nella finestra di dialogo Component Checker – Choose Analysis type selezionare
Perform Analysis of your machine and automatically determine the release version,
quindi scegliere OK.
4. Identificare la versione di MDAC installata nel computer effettuando la scansione
di tutti i file MDAC di base e delle impostazioni del Registro di sistema. Sono
necessari alcuni minuti per il completamento di questa operazione. Una volta terminata
la scansione verrà visualizzato un messaggio simile alla seguente figura :
Pagina 2
5. Scegliere OK.
6. Verrà visualizzato un riepilogo dei file e delle impostazioni sottoposti a scansione. E’
possibile ignorare gli errori Dir, FileDescription e FileSize.
Se da questo controllo risultasse che la versione di MDAC è la 2.1 – 2.5 o la 2.6
(versioni vulnerabili) si consiglia di aggiornare l’MDAC alla versione 2.7.
Per scaricare la versione 2.7 si dovrà visitare il seguente
http://www.microsoft.com/data/download.htm e seguire le istruzioni.
sito
:
Una volta installata la versione 2.7 ripetere il controllo per conferma dell’avvenuto
aggiornamento.
Pagina 3
KEYLOGGER
Talvolta riaccendendo il computer ci si trova di fronte a qualcosa di cambiato rispetto
a quando l’abbiamo spento, una icona spostata oppure dei messaggi di posta elettronica
che non ricordiamo di aver letto o scaricato. Diciamo che non è proprio buona norma
ma può succedere che qualcuno in assenza del titolare del computer, lo usi all’insaputa
di quest’ultimo. Per contrastare questa intrusione potremo quindi installare hard disk
removibili, oppure programmi di crittografia atti a cifrare dati sensibili registrati sul
computer e tutto quanto in nostro possesso per proteggere i dati, ma tutti questi
accorgimenti non rilevano nulla sull’identità del trasgressore.
Per risalire all’identità del trasgressore bisognerà sapere cosa esso faccia all’interno
del PC e a quali risorse attinga e come le utilizza, dopo averle trovate; i Keylogger sono
strumenti per perseguire questo scopo, essi sono programmi che si installano sul pc e
che registrano, in maniera dipendente dall’impostazione del programma : si possono
includere i siti visitati, le applicazioni utilizzate, il tempo di utilizzo di quest’ultime,
sino ad arrivare a registrare i tasti premuti, ed in questo caso non solo le password,
ma anche ciò che scrive un utente.
I Keylogger rintracciabili su Internet sono centinaia, verrà visto in particolare
l’installazione e l’uso di Windows Keylogger ver. 5.04 (esiste in questo sito anche la
versione 4.0 completamente funzionante ma con minori potenzialità)
Installazione ed uso : il programma si scarica dal sito http://www.littlesister.de, non
necessita di installazione; è un autoestraente che si scompatta nella directory da voi
indicata; effettuando un doppio clic sull’eseguibile ci troviamo nella schermata
principale.
Nella schermata principale (Protocol) troviamo le impostazioni più semplici quali
l’autostart, il percorso di salvataggio del log file con il nome con cui si decide di
salvarlo e effettuare gli screenshots (foto dello schermo).
E’ importante ricordarsi di bloccare il “logging engine” ogni qualvolta si apporta una
modifica per il successivo start, inoltre fermare in anticipo il “logging engine” prima di
visualizzare il file di log.
Pagina 4
Nella seconda schermata (Scheduler) è possibile programmare l’orario di accensione e di
spegnimento del programma, oltre all’orario della sua eventuale autodistruzione.
Nella terza schermata (Options) si configurano le opzioni tramite e-mail del file
di log, si può decidere di ricevere il file ad una determinata ora oppure quando
raggiunge una grandezza stabilita
Una volta configurate le schermate possiamo decidere quando far partire il
“logging engine” attraverso il bottone nella schermata principale. Per
visualizzare infine il log file premere il bottone view logfile, quindi apparirà un
schermata simile alla figura che segue dove saranno mostrati tutti i movimenti
commessi dall’aggressore con i rispettivi tempi.
Pagina 5
Se qualche “malintenzionato” provasse ad aprire il log file ecco come si
presenterebbe :
Come molti programmi anche Keylogger implementa un sistema di cifratura
dell’output che può essere risolto solo usando un’opzione specifica nella
schermata principale di configurazione del programma stesso.
Pagina 6
Infine, bisogna tener presente che su Internet non è difficile trovare degli
antikeylogger; quest’ultimi sono programmi che scannerizzano il computer alla
ricerca dei programmi keylogger.
AVVISO :
L’uso sopradescritto di un programma come Windows Keylogger è corretto se
installato sul proprio pc, risulta però evidente che se installato su un pc di
un’altra persona, potrebbe servire anche per spiare la sua privacy. In questo
caso, oltre che eticamente scorretto, tale uso è vietato; potrebbe accadere che
con la funzione di auto-protect attivata, alcuni antivirus potrebbero rilevare gli
eseguibili dei programmi keylogger come trojan. Si consiglia quindi,di usare tali
programmi eslusivamente in locale, mettendo in quarantena detti eseguibili,
quando si naviga in Internet.
Pagina 7
SHARE LEVEL PASSWORD VULNERABILITY
La Microsoft ha da poco rilasciato una patch riferita alla vulnerabilità che affligge i
sistemi Microsoft : Windows 95 – Windows 98 – Windows 98 SE – Windows ME.
Il problema riscontrato è da ricercarsi nella condivisione delle cartelle in rete, dove il
server verifica la correttezza delle password, ma non ha nessun controllo sulla lunghezza;
di conseguenza se viene tentato l’accesso con una password di un solo carattere e
quest’ultimo corrisponde al primo carattere della password effettiva, l’accesso viene
garantito.
La patch è reperibile presso i seguenti siti :
Windows 95:
http://download.microsoft.com/download/win95/Update/11958/w95/EN-US/273991USA5.EXE;
Windows 98 and 98 Second Edition :
http://download.microsoft.com/download/win98se/Update/11958/w98/EN-US/273991USA8.EXE;
Windows Me :
http://download.microsoft.com/download/winme/Update/11958/winme/EN-US/273991USAm.EXE;
Pagina 8
ELIMINARE I COOKIES ALLA PARTENZA DEL SISTEMA
OPERATIVO MICROSOFT WINDOWS
Esiste la possibiltà di eliminare i “cookies” ogni volta che il sistema operativo si
riavvia, senza andare di volta in volta a cancellare manualmente i “cookies” nella
cartella di Windows oppure dall’opzioni di Internet mediante il tasto Strumenti di
Internet Explorer.
Agire come segue :
- dal tasto start (avvio) premere Esegui
- digitare la parola “sysedit” (apparirà una schermata come la figura seguente)
- aggiungere nella cartella Autoexec.bat come ultima stringa:
deltree /y C:\WINDOWS\COOKIES\*.*
1.
“deltree” ordina di cancellare qualcosa;
2.
“/y” evita che venga chiesta conferma finale all’utente;
3.
“C:\WINDOWS\COOKIES\” è il percorso per raggiungere la cartella “cookies”;
4.
“*.*” indica esattamente “tutto”, quindi tutto il contenuto della cartella “cookies”.
-
quindi da “File” salvare e uscire;
-
fare ripartire il computer, noterete che prima che si avvii il sistema operativo verranno
cancellati automaticamente tutti i cookies presenti nella cartella.
Nota : l’unico lato negativo risiede nel fatto, che la ripartenza del computer risulterà qualche
secondo più lenta.
Pagina 9
LE VENTI VULNERABILITA’ PIU’ CRITICHE
PER LA SICUREZZA IN INTERNET
(QUARTA PARTE)
G7 - Programmi CGI vulnerabili
G7.1 Descrizione:
La maggior parte dei server web, inclusi Microsoft IIS e Apache, supportano le
funzionalità dei programmi CGI (common gateway interface) per fornire interattività alle
pagine web e funzioni come la raccolta e la verifica di dati. Di fatto, la maggior parte dei
server web contiene (ed installa) programmi CGI dimostrativi. Sfortunatamente sono
troppi i programmatori di CGI che non considerano il fatto che i loro programmi
forniscono a qualsiasi utente di Internet un collegamento diretto al sistema operativo del
computer sul quale è installato il server web. I programmi CGI vulnerabili rappresentano
un'attrattiva particolare per gli aggressori perché sono relativamente facili da
individuare ed eseguire con i privilegi e la potenza del software dello stesso server web.
È risaputo che i programmi CGI vulnerabili sono stati sfruttati per deturpare pagine web,
rubare numeri di carta di credito e creare backdoor per assicurare intrusioni successive.
Dopo la violazione del sito web del Dipartimento di Giustizia degli Stati Uniti, è stata
condotta un'analisi approfondita che ha determinato che molto probabilmente ciò che
aveva permesso la violazione era la vulnerabilità di un programma CGI. Le applicazioni dei
server web sono ugualmente vulnerabili a causa delle falle di sicurezza generate da
programmatori inesperti o disattenti. Come regola generale, i programmi dimostrativi
devono essere sempre rimossi dai sistemi di produzione.
G7.2 Sistemi interessati:
Tutti i server web.
G7.3 Lista CVE:
(Nota: la lista sottostante non è una lista completa o esaustiva. Contiene solo esempi di
alcune delle vulnerabilità appartenenti alla categoria in questione).
CVE-1999-0067,
CAN-1999-0509,
CVE-2000-0012,
CAN-1999-0477
CVE-1999-0346,
CVE-1999-0021,
CVE-2000-0039,
CVE-2000-0207,
CVE-1999-0039,
CVE-2000-0208,
CVE-1999-0467,
CVE-1999-0058,
CAN-1999-0455,
G7.4 Come determinare se siete vulnerabili:
Siete vulnerabili se il vostro server web ospita qualche codice dimostrativo. Se avete
programmi CGI legittimi, controllate che la versione utilizzata sia l'ultima e quindi
effettuate l'analisi del vostro sito con uno scanner per la rilevazione delle vulnerabilità.
Simulando il comportamento di un aggressore, sarete preparati a proteggere i vostri
sistemi. Per scoprire script CGI vulnerabili potete usare uno scanner per la rilevazione
delle vulnerabilità CGI chiamato whisker, reperibile presso:
http://www.wiretrip.net/rfp/
Pagina 10
G7.5 Come proteggersi:
Questi sono i rimedi principali da adottare come difesa da programmi CGI vulnerabili:
1.Rimuovete tutti i programmi CGI dimostrativi dal server web di produzione.
2.Controllate e verificate i restanti script CGI e rimuovete quelli non sicuri da tutti i server
web.
3.Accertatevi che tutti i programmatori di CGI rispettino una severa policy per il controllo
della lunghezza del buffer di input nei programmi CGI.
4.Applicate le patch per le vulnerabilità note che non possono essere rimosse.
5.Accertatevi che la cartella CGI bin non contenga compilatori o interpreti.
6.Rimuovete lo script "view-source" dalla cartella cgi-bin.
7.I server web non devono essere in esecuzione con i privilegi di amministratore o di root.
La maggior parte dei server web può essere configurata per funzionare con account dotati
di privilegi inferiori, come ad esempio "nobody".
8.Non configurate il supporto CGI sui server web che non ne hanno bisogno.
Le vulnerabilità principali dei sistemi Windows (W)
W1 - Vulnerabilità Unicode (attacco trasversale alle cartelle dei server web)
W1.1 Descrizione:
Unicode assegna un numero univoco a ciascun carattere, indipendentemente dalla
piattaforma, dal programma e dalla lingua. Lo Standard Unicode è stato adottato dalla
maggior parte dei produttori, compreso Microsoft. Inviando a un server IIS una URL,
appositamente preparata, contenente una sequenza Unicode UTF-8 non valida, un
aggressore può forzare il server ad uscire letteralmente da una directory e ad eseguire
script arbitrari. Questo tipo di attacco è anche conosciuto come directory traversal attack
(attacco trasversale alle cartelle).
Gli equivalenti Unicode di / e di \ sono, rispettivamente, %2f e %5c. Tuttavia, potete
rappresentare questi caratteri anche utilizzando le sequenze cosiddette decodificate. Le
sequenze decodificate sono rappresentazioni Unicode tecnicamente non valide, essendo più
lunghe di quelle necessarie per rappresentare il carattere. Sia / che \ possono essere
rappresentati con un singolo byte. Una rappresentazione decodificata, come ad esempio
%c0%af al posto di / rappresenta il carattere utilizzando due byte. IIS non è stato
concepito per eseguire controlli di sicurezza sulle sequenze decodificate. Perciò i controlli
di sicurezza di Microsoft possono essere aggirati trasmettendo una URL con sequenza
Unicode decodificata. Se la richiesta proviene da una cartella contrassegnata dai diritti di
esecuzione, l'aggressore può fare in modo che i file eseguibili presenti sul server vengano
avviati. Ulteriori informazioni sui rischi legati alla vulnerabilità Unicode possono essere
reperite presso: http://www.wiretrip.net/rfp/p/doc.asp?id=57&face=2
W1.2 Sistemi interessati:
Microsoft Windows NT 4.0 con IIS 4.0 e Windows 2000 server con IIS 5.0 che non
abbiano installato il Service Pack 2.
W1.3 Lista CVE:
CVE-2000-0884
Pagina 11
W1.4 Come determinare se siete vulnerabili:
Siete probabilmente vulnerabili se state usando una versione IIS non aggiornata. Il
modo migliore per stabilire se siete vulnerabili è quello di eseguire hfnetchk.
Hfnetchk è uno strumento creato per gli amministratori per la verifica del livello di
aggiornamento di uno o più sistemi e funziona in rete. La vulnerabilità Unicode di
attacco trasversale alle cartelle è stata corretta con i seguenti aggiornamenti:
•Q269862 - MS00-057
•Q269862 - MS00-078
•Q277873 - MS00-086
•Q293826 - MS01-026
•Q301625 - MS01-044
•Windows 2000 Service Pack 2
Se non è stato installato nessuno di questi aggiornamenti, il sistema risulta essere
vulnerabile a quanto descritto.
Per una verifica più specifica, provate a lanciare questo tipo di attacco contro il
vostro sistema e controllatene l'esito. Provate ad utilizzate il seguente comando
contro il vostro server web IIS:
http://victim/scripts/..À¯../winnt/system32/cmd.exe?/c%2Bdir%2Bc:%5C%20
Per la verifica ad un sistema specifico è possibile che dobbiate modificare la URL. Se
avete rimosso la cartella scripts (operazione consigliata), questo comando non sarà
eseguito. Al posto della cartella scripts indicata nel comando, potete verificare le
funzionalità di un sistema creando una cartella temporanea con diritti di esecuzione,
oppure utilizzando un'altra cartella con i diritti di esecuzione già impostati. È ad
esempio possibile che la cartella scripts sia stata rimossa ma che sia presente una
cartella chiamata cgi-bin. Effettuate la verifica sul vostro sistema usando quindi la
cartella cgi-bin al posto della cartella scripts.
Se siete vulnerabili, questa URL vi restituirà l'elenco dei contenuti del drive C della
macchina vulnerabile. In sostanza l'attacco che state effettuando contro il vostro
sistema è simile all'attacco di un vero aggressore. L'unica differenza è data dal fatto
che mentre voi impiegate un comando non-intrusivo (dir), un aggressore potrebbe
causare seri danni oppure creare una back door nel sistema.
Pagina 12
W1.5 Come proteggersi:
Per proteggersi da questo tipo di attacco è necessario installare gli ultimi
aggiornamenti Microsoft. Per informazioni su come reperire gli aggiornamenti fate
riferimento al Microsoft Security Bulletin:
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
Anche strumenti come IIS Lockdown Tool e URLScan possono difendervi da questa
vulnerabilità. IIS Lockdown Tool è stato progettato per aiutare gli amministratori a
isolare un server IIS ed è reperibile presso:
http://www.microsoft.com/technet/security/tools/locktool.asp
URLScan è un analizzatore che filtra le richieste HTTP. Per esempio, può essere
utilizzato per filtrare richieste contenenti caratteri con codice UTF8. URLScan è
reperibile presso:
http://www.microsoft.com/technet/security/URLScan.asp
Pagina 13