Microsoft, Internet Information Services (IIS) web sunucusun da  “Webdav” eklentisinde bulunan bir aciklikdan bahsetmek istedim biraz.Bu konuyu ortalama 1 aydir yazmayı hep dusundum;fakat  bu zaafiyat ile ilgili  bir cok  exploit, public edilip son kullanici da dahil bir cok kisinin Windows sistemlere ilgili exploit ile kolayca atak yapar hale getirildiginden, geri adim attim.  Tum permissionlar kapali olmasina ragmen , Windows server da barindigim icin ben bile once korktum :)

Webdav eklentisinde cikan aciklik, kimlik denetimini asip, ilgili bolume anonim erisim saglanabilmesini gerceklestiriyor.Sadece kimlik dogrulama ile korunan klasorle icin de  gecerli degil, serverdaki tum
Read,Write,execute,directory&Listing
yetkileri atanmis klasorler de unicode (%c0%af ) sorgusu sayesinde asagidaki parametreler (

# * CD
# * LS
# * MOVE
# * PUT
# * GET
# * CAT
# * DELETE

)calisiyordu. Ornek > “ad%c0%afmin”
Yani saldırgan sitenizdeki tum dosyalari listeleyip,okuyabilirdi.
Genelde WebDAV Authentication ile korunan klasorlerde chmod 777 oldugundan bu bolumlere .net shell upload edilebilirdi :(
ilk gun vulnerable durumda olan domainimin host edildigi servera  yaptigim Penetration (Sızma Testler) Checkpoint sayesinde http protokolunu delemedi ;)

Linux Backtrack, “Cadaver” Exploit with Penetration Test

ilgili istekler guvensiz oldugundan unicode durumundaki sorgulari  “http” protokolune gelmeden server’in onunde duran  IDS (CP)cevapsiz bıraktı.Burada IDS‘nin onemini bir kez daha vurgulamak icin soyluyorum.Bir kac gun once de servera, Microsoft’un yayımladıgı patchlari gectik.Az bir sureligine de olsa Windows server da barinmam benım icin buyuk bir sorumluluk gerektirdigini dusunuyorum.

[eof]

Eger Windows web server sahibiyseniz , bahsettgimiz guvenlik acigindan korunmak icin “Webdav” servisini kapatmanize gerek olmadigini dusunuyorum, serverda bir cok alan adi sahibi ilgili servisi kullanıyor olabilir. Bunun yerine bugunler de yayınlanan ilgili patchleri cekmenizi, gerekmedikce hic bir dizine execute yetkisi vermemenizi oneririm.
Ugur Engin.

Kaynaklar;
http://nmap.org/svn/scripts/http-iis-webdav-vuln.nse
http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx
http://milw0rm.com/exploits/8704

Windows’u web server olarak kullanıyorsanız system32 klasorunu altındakı sistem dosyalari yetkilerini kontrol etmenizde yarar var.

IIS5-6-7 web sunucusunda asp ve .net web shell sunucu fonksiyonlari cok esnek calismaktadir.Bu scriptler genel olarak system32 altindaki dosya yetkilerini ele alarak serverda komut calistirma, process upload/execute etme gibi marifetlere sahip olabilirler.

system32/cmd.exe islemcisinin Windows makinalar da  komut calistirma konsolu oldugunu biliyoruz muhtemelen, bu dosya ve ilgili bolumde bulunan diger sistem dosyalarına( net.exe,attrib.exe) user yetkisine sahip dusuk yetkili kullanicilarin da execute etme yetkisi bulunmaktadir.Yani .net ile oturup 3-5 kod yazmayi bilen adam bu process leri kullanarak makinayi exploit edebilir.Her neyse yukarida belirttigimiz bu kritik sistem dosyalarinin userlar icin calistirma yetkilerini kaldirirsak bu problemi duzeltmis oluruz.

cmd.exe’nin default perm yetkileri yukarida goruldugu gibi gelmektedir.
INTERACTIVE kullanicisin Read&Execute yetkisini kaldirirsak sunucuda ki user’lar cmd.exe’yi execute  edemeyeceklerdir.Boylelikle cmd.exe araciligiyla herhangi bir komut makinada calistirilamaycaktir.(Sadece Userslar/Domain kullanicilari)

Son Notlar:

Yillardir Windows serverlarda gordugumuz en bariz onemsenmeyen ve bir cok onemli sistemin hacklenmesine sebep olan bir bolumdur. Serverin onunde IDS veya sistemde firewall olmasi demek serverin guven de oldugu  anlamina gelemeyecegini , ayrica bu tur donanima binlerce dolar harcayamayan kurumlarin sunucu guvenliklerini ozenle konfigure etmeleri gerektigini soylemek isterim.

Referanslar
http://aspxspy.codeplex.com
http://msdn.microsoft.com/en-us/library/ms525331.aspx

Bir network da birden fazla bilgisayarin birbiriyle iletisim de oldugunu dusunelim.Bir kaç swich ile network’u diger  makinalara  dagitiyoruz.

Bilgisayarlarin bu sevisir durumu sırasında bir  saldirgan  soyle bir sey dusunse: IP ve Mac adresi ikilisini degistirerek kendi paketlerini network’a broadcast ederek diger bilgisayarlar uzerinde olusan tum trafigi kendi  makinasına  snifflemek oldugunu dusunursek sistem yoneticisi olarak bu duruma mudahale etmek isteriz elbette.Local de network uzerine yapilan bu ataga Arp zehirlenmesi ( cache poisoning ) denir.Bu atagın sonucun da saldırgan diger tum client pclerdeki trafigi gozlemler. Asagida google den buldugum ve arp atagını cok iyi ozetleyen resimi paylasayim dedim bknz lutfen.

Arp Poisoning ve Sniffing tekniklerini diger kimseler kendi cikarlari dogrultusunda kullanmamalari icin anlatmıyoruz tabi.

Mac adresi girdilerini statik olarak atarsak ilgili problemi safe etmis oluruz.
Cisco’nun bir cok switch’inde arp yonetimi bolumleri var,  degisken ve sahte mac adresi trafigi denetimleri oldukca titiz ve zekice tasarlanmis.Anlatmak istedigim yeni nesil switclerde network’u guvenle bolunerek dagitilabildigi.Server 2003 de arp protokulunu fixleyelım simdi.

arp -a
Interface: 192.168.2.1 — 0×20002
Internet Address Physical Address Type
192.168.2.1 00-1a-2a-5f-db-ff dynamic

> arp -s  192.168.2.1 00-aa-00-62-c6-09 …. Adds a static entry.
< arp -s  MAC  IP Adres

Nt de arp protokolunun nasıl statık atanacagı soylenıyor.
Fakat bunu her gun ve bir cok makina icin manuel girmek cok ugrastırıcı ve bıktırıcı olacagından, Asagida  2 satirlik scripti .bat formatın da kaydediyoruz. Simdi bunu her gun calistiricak  bir kural belirlememiz gerekir.

@echo off
arp -s 192.168.2.1 xx-1a-2a-xx-db-xx

Yukarida ms-dos parametrelerini notepad’e yazip arp.bat olarak kaydediniz.
Daha sonra ilgili dosyayi calistirdiginiz da arp protokolunun statik olarak atanacagini goreceksiniz. Ms-Dos ta arp -a parametresi ile mac adresinin durumunu gorebilirsinhiz.

Simdi bu scripti her gun calistirmak icin Windows da Scheduled Tasks servisini kullanacagiz.Bu servis Ufak scriptimizi her gun belli bir zaman diliminde calistiracaktir.

Yukarıda .bat uzantili scripti seciyoruz.”Daily” her gun bu islemin yapilmasi icin.

Bu asamada administrator sifresini girip islemleri sonlandiriyoruz.
bu durumda sistem bizim belirledigimiz saatte her gun ilgili .bat formatli scripti calistirip arp protokolunu statik olarak atayacaktir.

Writed : Ugur  Engin
Contact: mail(at) ugurengin(dat)com