/ \ | --------{ HaCkInG WiN2K }--------- | | ~ made bai deez ~ | | | |________________________________-____________________________________| | - | | We work in the dark | | We do what we can | | We give what we have | | Our doubt is our passion, and our passion is our task | | The rest is the madness of art. | | | | -- Henry James | \ / {- erster teil -} {- erster teil -} [0] Allgemeines [1] Architektur (1) EFS (2) IPSec (3) ISA (4) Authentifizierungsprotokolle (5) Kerberos (6) Logon Prozess (7) LDAP [2] Bugs (1) bugs,bugs,bugs {- zweiter teil -} [3] Angriffe (1) Through IPC$ (2) Nullsessions (3) DoS (4) Passwoerter erhalten (5) Clearen (6) Trojans & Backdoors (8) Scanning [0] Allgemeines Geschrieben im Editor, ASCII is beatiful. Es sind zwei Dateien, die erste (diese) beinhaltet [0] Allgemeines, [1] Architektur und [2] Bugs. Die zweite enthaelt [3] Angriffe. Geschrieben von allen die Informationen ueber Win2k ins Internet stellten. (ich nenne keine namen, denn man weis nie von welchen namen die namen abgeschrieben haben. "Sind Schuelbuecher, Buecher die von Schuelbuechern abgeschrieben sind? ...", Erich Kästner) Geschrieben und zusammengetragen von deez, begonnen mitte Februar 2003, mit der Absicht ein moeglich vollstaendiges Kompendium ueber win2k zu verfassen. Dieser Text hat nur informativen Charakter und soll nur dazu dienen faulen Administratoren die Arbeit schwer zu machen. Sinnerhaltende Kuerzungen, auszugweisese oder komplette Kopien sind erlaubt, sofern eventuell der Name des Autors und mein Name darunter stehen. Um besseres Verstaendis ueber das Win2k zu erhalten und um unnoetige Zwischenfaelle (wie zum Beispiel Gefaengnisaufenthalte, Geldstrafen :) zu vermeiden sollte der ganze Text durchgelesen werden. Ich hab mit der Zeit und wachsenden Kenntnissen den Ueberblick verloren, es ist moeglich das um zum Beispiel um den IPC$-Attack durchzufuehren man wissen sollte welche Ports bei einem Win2k System offen sind, und so weiter et cetera. Ich schreib sicher nicht alles was zu tun ist, das meiste kann man ja eh wenn man die Idee kriegt. Nur einige wenige Angriffe sind total ausgeschrieben. AEh sorry das ich manchmal zwischen Linux und Windows Methoden, lokalen und remote Angriffen wechsle. Dieser Text wird laufen vervollstaendigt. Wenn irgndeine Crew oder Club oder was auch immer mich als Member haben will, soll sich melden (keine Attachments!). meine email: ce_nientdafa@hotmail.com (was der is bei hotmail? microsoft??? -- KNOW YOUR ENEMY! ) Am liebsten aus Suedtirol. """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" 1 Architektur (vielleicht lesen sich das sogar die Script Kiddies durch, vielleicht, irgendwann...) """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" __________________ (1) EFS ____________________ Das EFS (Encrypted File System) stellt fur jeden Benutzer ein Private und Public Key mit einer 128 bit Verschlüsselung deren Anwendung vollstaendig im Betriebssystem gekapselt ist zur Verfuegung. Es ist also nicht mehr moeglich auf eine ausgebaute Festplatte einfach so zuzugreifen, wenn natuerlich das Encrypted Atrrib gesetzt ist. Selbst Admins nicht mehr. Die Wiederherstellung der Daten funktioniert nur mit dem lokalen Betriebssystem und einem sogenannten Desaster Recovery Agent Key möglich, falls der Benutzer nicht mehr erreichbar, oder gelöscht ist. Aber selbst dann benötigt man das aktuelle lokale Betriebssystem mit Administratorrechten. Eine Neuinstallation von Windows 2000 auf den Rechner würde auch nichts bringen, da beim Erzeugen der Benutzer wieder neue Keys erzeugt werden. Encryption (Verschluesselung) Die Verschluesselung basiert auf einem Hybridverfahren, also nicht nur eine symmetrische sondern auch eine mit public/private Schluesseln. Die Daten ueber den DES-Algorithmus verschluesselt, der dazu passende Schluessel wird vom FEK (File Encryption Key) erzeugt, Zusätzlich verschlüsselt das EFS den FEK mit dem öffentlichen Schlüssel aus dem public/private Schlüsselpaar des Anwenders. Diese nun chiffrierten FEKs werden mitsamt der Datei als spezielles EFS-Attribut im DDf (Data Decryption Field) abgelegt. Als Ergebnis besitzt man eine Datei, die symmetrisch per DES verschlüsselt worden ist. Der dabei zugrundegelegte Schlüssel wurde anschließend auf Basis eines öffentlichen/privaten Schlüsselverfahrens mit den entsprechenden öffentlichen Schlüsseln abermals chiffriert. Nur die so zustande kommenden Schlüsselinformationen werden zusammen mit der Datei gespeichert, denn ohne den zugehörigen privaten Schlüssel ist keine Wiederherstellung der in ihr enthaltenen Informationen möglich. Die entsprechenden privaten Schlüssel wiederum werden bei dem jeweiligen Anwender oder dem Recovery-Agenten abgelegt – etwa im Active Directory, auf Smartcards oder in anderen gesicherten Bereichen. EFS kann im Notfall zwaengweise ueber die private Recovery Agent Keys entschluesselt werden. Decryption (entschluesselung) Funktioniert exakt umgekehrt :) Alles klar? Wenn nicht, lies erst mal was ueber Kryptographie. -=-=-=-= (2) IPSec =-=-=-=- IPSec fuer (wer haette das gedacht) fuer IP Security und dient um Daten des IP zu verschluesseln. Die Encryption ist vollkommen zugaenglich. Die Konfiguration von IPSec erfolgt ueber die Gruppenrichtlinien, Ports koennen geschlossen etc. IPSec ist recht komplex, aber richtig eingesetzt erhoeht es die Sicherheit sehr. Wie funktioniert IPSec? In der sichersten Form verwendet IPSec einen Schlüssel zum Unterzeichnen und Verschlüsseln von Daten und einen zweiten Schlüssel, um die Signatur der Nachricht zu prüfen und zu entschlüsseln. Beides zusammen, Unterschreiben und Verschlüsseln kann vier Schutzmöglichkeiten eines Pakets bieten: Zuerst authentifiziert und überprüft IPSec den Ursprung jeder Nachricht, was sicherstellt, dass der sendende Computer eine bekannte Einheit ist. Zweitens garantiert IPSec Datenintegrität, was heißt, dass niemand Daten verändern kann während sie auf dem Weg vom sendender zu emp-fangender Einheit sind. Drittens identifiziert IPSec jedes IP-Paket mit einer digitalen Signatur, was verhindert, dass andere Benutzer die Nachricht wieder aufrufen können. Viertens kann IPSec Vertraulichkeit garantieren durch die Verschlüsselung von Netzwerkpaketen, was sicherstellt, dass nur die Person, die den er-forderlichen Schlüssel hat, die Nachricht lesen kann. Mit einem sorgfältigen Blick darauf, wo vertrauliche und erfolgskritische Daten im eigenen Netz-werk liegen, kann man IPSec Strategien implementieren, die diese die Ressourcen praktisch voll-kommen schützen. Obwohl IPSec den Diebstahl von Passwörtern oder unverschlossenen CD-Rom-Laufwerken nicht verhindern kann, kann es zumindest sicherstellen, dass nur bekannte Computer und überprüfte Benutzer Zugang zu LAN Servern und Daten haben und dass Daten sicher durch das Netzwerk ausgetauscht werden können. /-/-/-/-/-/- (3) ISA /-/-/-/-/-/-/ Schon mit der Einführung des Proxy Server 1.0 hat Microsoft zwei aus dem Boden sprießende neue Märkte erobert, die von hoher Relevanz für die Sicherheit eines Betriebssystems sind. Nämlich den der Sicherheit des Internets und den des beschleunigten Netzzuganges. Die Nachfolgerversion, der Proxy Server 2000, wies wesentliche Verbesserungen auf und ebnete den Weg für den im Win-dows 2000 installierten Microsoft Internet Security and Acceleration Server (ISA).Er hat, in verbes-serter Form des Proxy Server 2000, die Fähigkeit den Internetverkehr seiner Clients besser zu kon-trollieren und größere Unterstützung sowohl bei Internetprotokollen als auch bei Internetanwendun-gen zu bieten. Microsoft erweiterte darüber hinaus die Sicherheitsfunktionen, indem der Administrator bei dem Proxy Server 2000 nicht nur den Informationsfluss durch das Proxyserversystem bestimmen, son-dern ihn auch kontrollieren konnten. Des weiteren können Unternehmen die Benutzerzugänge zu Internetdiensten kontrollieren und oft geladene Internetseiten zwischenspeichern. Letzteres erlaubt einen schnelleren Zugriff bei ausgedehnten Ladevorgängen und verhindert einen erneuten Virenan-fall bei Kontakt mit dem Internet. Mit der Herausgabe des ISA soll die Sicherheit des Betriebssy-stems gesteigert werden und der neue Name ISA soll die Fähigkeiten des Produktes besser zum Ausdruck bringen. Denn obwohl der ISA Server ein Nachfahre des Proxy Server 2000 ist, ist er weit mehr als eine bloße Produktverbesserung. Hinzukommend zu den oben erwähnten Sicherheitsmerkmalen führt der ISA Server eine Reihe in-novativer Merkmale ein, die Fähigkeiten des Proxy Server 2000 um ein Vielfaches erweitern und für die Sicherheit von Windows 2000 entscheidend sind. Die folgende Auflistung soll einen kurzen Überblick über die wichtigsten Erneuerungen geben. 1. Neue Firewall-Merkmale: - Daten werden neuerdings beim Durchgang durch die Firewall untersucht und der Status ihrer Verbindung überprüft. - Der ISA Server bietet Unterstützung im Bereich der Entschlüsselung, der Vorsichtsmaßnahmen und der Warnung von Virenattacken, wie z.B. ping of death, UDP bombs. - Der ISA Server verfügt über die sogenannten Network Adress Translation Services ( NAT), die den Clients innerhalb des LAN problemlos und sicher Zugang zum Internet auch ohne die ent-sprechende Client Software verschaffen. 2. Bessere Zwischenspeicherungsmöglichkeiten ( caching): Der ISA Server hat die Möglichkeit oft geladene Seiten zwischenzuspeichern und somit einen ver-schnellerten Zugriff auf diese Daten zu bieten. 3. application filters: Hierbei werden spezielle Filter installiert, die den Zugriff bestimmter Daten im Netzwerk filtern, um möglichen Viren vorzubeugen. z.B. Emailfilter die den Zugriff auf gewisse Mails blockieren. 4.Skalierbarkeit: Die Fähigkeit zur Skalierbarkeit spielt vor allem in großen Unternehmen eine wichtige Rolle, da sich die Leistung eines Servers grundlegend verschlechtern kann und somit auch seine Sicherheit, wenn er zu viele Daten zwischenspeichert. Durch die Skalierbarkeit von Daten soll diesem Problem vorgebeugt werden. 6. Erweiterte Berichterstattung: ISA Server besitzen die Fähigkeit automatisch Benutzerzugänge und Sicherheitsaspekte festzuhal-ten, die dem Anwender je nach Einstellung in bestimmten Zeitabschnitten zugesendet werden. Der ISA Server baut somit nicht nur den Proxy Server Zugang aus und erweitert die Zwischenspei-cherungsmöglichkeiten, sondern verleiht dem Produkt auch noch neuartige Sicherheitsmerkmale. ^^^^^^^^^^^^ (4) Authentifizierungsprotokolle ^^^^^^^^^^^^^^ Version 4 von Windows NT unterstützt mehrere Authentifizierungsprotokolle zur Überprüfung der Anmeldedaten von Benutzern, die eine Verbdinung zu einem Netzwerk aufbauen. Es handelt sich um folgende Protokolle: Password Authendication Protocol (PAP) Challenge Handshake Authendication Protokol (CHAP) Microsoft Challenge Handshake Authendication Protokol (MS-CHAP) Shiva Password Authendication Protokol (SPAP) Point-to-Point Tunneling Protocol (PPTP) Windows 2000 unterstützt zusätzlich einige weitere Protokolle, die in Puncto Authentifizierung, Verschlüsslung und Mehrfachverbindungen wesentlich mehr Optionen bieten. Es handelt sich um folgende Protokolle: Extensible Authendication Protocol (EAP) Remote Authendication Dial-in User Service (RADIUS) Internet Protocol Security (IPSec) Layer-2-Tunneling-Protocol(L2TP) Extensible Authendication Protocol (EAP) Das Extensible Authendication Protocol (EAP) ist eine Erweiterung des Point-to-Point-Protokolls(PPP), das für das DFÜ-, PPTP- und L2PT verwendet wird. Durch EAP kann eine DFÜ-Verbindung mittels einer beliebigen Authentifizierungsmethode überprüft werden. Welche Art der Authentifizierung im Einzelfall verwendet wird, wird zwischen dem DFÜ-Client und dem Remote-Server ausgehandelt. EAP unterstützt folgende Authentifizierungsmethoden: Generische Tokenkarten: Eine physische Karte, die Kennwörter zur Verfügung stellt. Tokenkarten können mehrere Authentifizierungsmethoden unterstützen, beispielsweise auch Codes, die sich bei erneuten Verwendung verändern. MD5-CHAP: Das Message Digest 5 Challenge Handshake Authendication Protocol. Dieses Protokoll verschlüsselt Benutzernamen und Kennwörter mit einem MD5-Algorithmus. Transport Level Security (TLS): TLS unterstützt Smartcards oder andere Zertifikate. Bei der Verwendung von Smartcard sind eine Karte und ein Lesegerät erforderlich. Auf der Smartcard sind das Zertifikat und der private Schlüssel eines Benutzers elektronisch gespeichert. Unabhängige Softwarehersteller, die EAP-Anwenderschnittstellen verwenden, können ihre Software neue Client/Server-Authentifizierungsmodule für diese Technologien wie Tokenkarten, Smartcards, biometrische Hardware wie Beispiel Netzhautscanner oder nur einmal nutzbare Kennwortsysteme generieren. Weitere Infos zu EAP sind im RFC 2284 zu finden. Remote Authentication Dial-in User Service Da in den Netwerken verschiedene Hardware und unterschiedliche Betriebssysteme eingesetzt werden, muss die Authentifizierung unabhängig davon passieren. Der von Windows2000 unterstützte Remote Authentication Dial-in User Service (RADIUS) ermöglicht diese Art der Benutzerüberprüfung. RADIUS stellt Authentifizierungs- und Kontoführungsdienste für verteilte DFÜ-Netzwerke zur Verfügung. Windows2000 kann als RADIUS-Client, als RADIUS-Server oder als beides gliechzeitig fungieren. Ein RADIUS-Server ist in der Regel ein ISP-DFÜ-Server, ist ein RAS-Server, der die Authentifizierunganforderungen empfängt und an einen RADIUS-Server weiterleitet. Als RADIUS-Client gibt Windows2000 zudem Kontoführungsinformationen an einen RADIUS-Kontoführungsserver weiter. Ein RADIUS-Server überprüft die Anfragen des RADIUS-Client. Die Windows2000 Authentication Services (IAS) führen die Authentifizierung durch. In der Funktion als RADIUS-Server speichert IAS die Kontoinformationen der RADIUS-Clients in Protokolldateien. Weitere Informationen zu RADIUS sind im RFC 2138 / 2139 zu finden. Internet Protocl Security Internet Protocol Security (IPSec) ist ein Satz von Sicherheitsprotokollen und kryptograpischen Diensten, der die Sicherheit von privaten Verbindungen in IP-Netzwerken garantiert. IPSec bietet einen agressiven Schutz vor Angriffen auf private Netzwerke und das Internet, ist aber denoch leicht zu bedienen. Die Clients handeln dabei als eine Sicherheitszuordnungn (Security Association , SA) aus, die als privater Schlüssel zur Verschlüsselung der Daten verwendet wird. Zur Konfiguration der IPSec-Sicherheitsdienste werden keinerlei Anwendungen bzw. Betriebssysteme verwendet, sondern die IPSec-Richttlinien. Diese stellen variable Sicherheitsniveaus für fast alle Datenübertragungensarten in den meisten Netzwerken zur Verfügung. Die Sicherheistmeachanismen für IP sind in RFC 1825 definiert. Layer 2-Tunnelprotokoll Das Layer 2-Tunnelprotokoll (L2TP) ist dem PPTP insofern ähnlich, denn auch sein Zwech besteht darin einen Tunnel durch ein nichtvertrauenswürdiges Netzwerk zu schaffen. Sie unterscheiden sich aber in einem Punkt, PPTP ist unverschlüsselt. Hingegen schaft L2TP erstens einen Tunnel und zweitens arbeitet sie noch mit Verschlüsselungstechnologien wie IPsec zusammen. Sowohl PPTP als auch L2TP verwenden PPP als ursprüngliche Verpackung die Daten und fügen dann für die Übertragung durch das Transitnetzwerk zusätzliche Header hinzu. Die hauptsächlichen Unterschiede werden in folgender Liste beschrieben: PPTP erfordert ein Transitnetzwerk auf IP-Basis. Bei L2TP muss nur gewährleistet sein, dass das Tunnelmedium eine peketorientierte Punkt-zu Punkt-Verbindung herstellt. L2PT kann in einem IP-Netzwerk mit dem User Datagramm Protocol, mit permanenten virtuellen Verbindungen(PVCs) auf Frame Relay-Basis oder auch in asynchronem Übertragungsmodus arbeiten. L2TP unterstützt im Gegensatz zu PPTP die Headerkomprimierung. Wenn die Headerkomprimierung aktiv ist, arbeitet L2TP mit einem Overhead von 4 Byte. PPTP arbeitet mit 6 Byte Overhead. L2TP unterstützt im Gegensatz zu PPTP die Tunnelauthentifizierung. Wenn jedoch entweder L2TP oder PPTP mit IPSec zusammen verwendet wird, wird die Tunnelauthentifizierung auf jeden Fall von IPSec zur Verfügung gestellt, so dass die L2TP-Tunnelauthentifizierung entfallen kann. PPTP verwendet PPP-Verschlüsselung, während L2TP zum Verschlüsseln IPSec benötigt. Geschrieben für: zerosecurity.port5.com Geschrieben von:Roger Kündig 07.11.2000 ********* (5) Kerberos ********* Kerberos identifiziert also Benutzer, Computer, Dienste oder andere Netzwerkgeräte, die Zugang ins System oder zu Domänenressourcen haben möchten. Ein System muß zwei Bedingungen erfüllen, bevor Kerberos zur Authentifizierung zwischen Client und Server eingesetzt werden kann. Zum einen muß der Kerberos Security Support Provider (SSP), welches der Code ist, der die Kerberos Logik sicherstellt, sowohl für den Client als auch für den Server verfügbar sein. Zum anderen müssen Client- und Serveranwendungen die Kerberos Referen-zen anerkennen ( zum Beispiel, tickets, authenticators, ticket-granting tickets - TGTs). Kerberos ist auf allen Win 2K Plattformen verfügbar. Jeder Exchange 2000 Dienst benutzt Kerberos, um sich zu einer Win 2K Domäne anzumelden. Normalerweise verwenden Exchange 2000 Dienste die Local System Account Credentials ( zum Beispiel, den Account, das Passwort), um sich in die Win 2K Domäne einzuloggen. Diese Verwendung des Local System Account garantiert bessere Passwortsi-cherheit als frühere Exchange Sicherheitsarrangements, weil Win 2K automatisch das Zugangs-passwort zum System erzeugt und die Passwörter in regelmäßigen Abständen erneuert. Diese Änderung bei Exchange 2000 schließt viele Probleme aus, die mit dem Service von Exchange Server 5.5 verbunden waren. Im Exchange Server 5.5 benutzen Systemverwalter manchmal ihren Benutzeraccount für den Serviceaccount, was Exchange Services am Starten hindert, wenn der Ac-count eines Administrators ausgeschlossen ist. Obwohl Exchange 2000 Dienste Kerberos verwenden, um sich zu einer Win 2K Domäne anzumel-den, erkennt der Informationsspeicher von Exchange 2000 Kerberos Referenzen nicht an. Clients, die sich für Exchange 2000 anmelden, können Keberosmerkmale nicht benutzen, wie zum Beispiel authentication delegation und mutual authentication2. Ein Benutzer, der sich in eine Exchange 2000 Mailbox einloggt, verwendet NTML zur Authentifizierung. Jedoch unterstützt das Kerberos Protokoll den einheitlichen Zugriff auf Non-Windows Anwendun-gen - ohne auf Sicherheit zu verzichten. """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" [2] Bugs """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""" Hier werden nun einige bekannte Bugs von Windows2000 aufgelistet. Service Control Manager Der Service Control Manager von Windows 2000 ist das zentrale Instrument, über das die Systemdienste erzeugt oder modifiziert werden. Für jeden Systemdienst legt der SCM eine sogenannte Named Pipe mit einem speziellen Namen an. Wenn nun ein Programm genau diese Named Pipe erzeugt, bevor der SCM das tun kann, erhält das Programm die Privilegien des Systemdienstes. Relative Shell Path Der Registry Eintrag, der auf den Windows Explorer verweist, arbeitet mit relativen Pfadnamen anstatt mit absoluten. Dieser relative Pfadname kann jedoch beim Systemstart noch nicht aufgelöst werden, daher durchsucht die Bootroutine das Systemlaufwerk nach der Datei explorer.exe. Dabei wird zuerst das Root-Verzeichnis durchsucht. Platziert nun in böswilliger Benutzer dort eine Datei namens explorer.exe, wird beim nächsten Systemstart dieses Programm als Shell verwendet anstatt des richtigen Windows-Explorer. NetBIOS Nameserver Spoofing Das NetBIOS Nameserver (NBNS) Protocol ist in der WINS-Implementation von Windows eingebunden. Es enthält einige Funktionen, um Namenskonflikte (etwa wenn zwei Arbeitsrechner denselben Namen haben) aufzulösen. Über spezielle Protokoll-Aufrufe können Arbeitsrechner auch in die Auflösung von Namenskonflikten eingreifen. Diese Aufrufe kann ein Hacker ausnutzen, um etwa dem Rechner "WORK2" mitzuteilen, dass er ab jetzt "WORK15" heißt. Der reguläre WINS-Server weiß davon nichts und somit ist die betroffene Arbeitsstation nicht mehr über den Namen "WORK2" erreichbar. Dieser Bug kann auch von einem Hacker im Internet ausgenutzt werden, wenn der Port 137 für UDP-Pakete geöffnet ist. Speicherloch im DNS-Dienst In Windows 2000 hat Microsoft den DNS-Dienst um so genannte Service-Einträge ergänzt. Mit deren Hilfe lassen sich so wichtige Informationen ermitteln wie der für die Anmeldung notwendige Domänen Controller. Für jede Anfrage allokiert der DNS-Dienst Speicher, den er jedoch nicht wieder automatisch freigibt. Dadurch wächst die Systembelastung, da Windows 2000 mehr virtuellen Speicher bereitstellen muss. DNS-Cache lässt sich nicht löschen In bestimmten Situationen kann es notwendig sein, den Cache eines Servers zu löschen, etwa weil sich darin ungültige Daten befinden. Versucht der Administrator, den Cache eines DNS-Servers unter Windows 2000 zu löschen, erhält er eine Fehlermeldung. Keine Trennung bei FTP-Timeout Wer regelmäßig Daten per FTPübertragt, stößt früher oder später auf die Meldung, dass der FTP-Server keine weiteren Verbindungen erlaubt, da die maximale Anzahl an Nutzern erschöpft ist. Diese Obergrenze gleichzeitig möglicher Sessions soll eine Mindestperformance des Servers gewährleisten. Damit inaktive Clients nicht permanent Ressourcen belegen, lässt sich serverseitig ein Timeout-Wert einstellen, nach dessen Ablauf die Verbindung getrennt wird. Ein Fehler im FTP-Dienst von Windows 2000 ignoriert diese Vorgabe jedoch, sodass die maximale Anzahl an Verbindungen schneller erreicht und neue Sessions blockiert werden. Missbrauch des BrowserReset Frame Microsofts Browserdienst dient dazu, Netzwerkressourcen zu finden. Durchsucht der Anwender etwa das LAN mit Hilfe des Icons Netzwerkumgebung, unterstützt ihn dabei der Browserdienst. Zur Lastverteilung setzt man dabei Master Browser und Backup Browser ein. Master Browser enthalten eine Liste der LAN-Ressourcen und replizieren diese auf die Backup Browser. Die Kommunikation untereinander erfolgt über so genannte Frames. Über den ResetBrowser-Frame etwa lässt sich der Browserdienst beenden. Dies ist beispielsweise dann hilfreich, wenn eine zu große Browseranzahl für eine zu hohe Netzlast durch die entstehende Replikation sorgt. Da das Protokoll für den Browserdienst keine Authentisierung vorsieht, könnte ein Angreifer entsprechende Frames gezielt gegen Rechner einsetzen, um den Anwendern den Zugriff auf Dienste und Computer in einem Netzwerk zu verweigern. Im Extremfall ist auch denkbar, dass auf diesem Weg gefälschte Informationen zur Verfügung gestellt werden. IP Fragment Reassembly IP-Pakete, die die maximale Frame-Größe in einem Netzwerk überschreiten, gelangen als Fragmente aufgesplittet ihr Ziel. Dort muss sie das Betriebssystem in der richtigen Reihenfolge zusammensetzen und weiter verarbeiten . Befinden sich ungültige Daten in den fragmentierten IP-Paketen, treibt dies die Arbeitslast auf dem Zielrechner drastisch nach oben. Der angegriffene Computer ist beinahe ausschließlich mit der Bearbeitung der kompromittierenden Fragmente beschäftigt. Im Extremfall kann er dabei abstürzen. NNTP kann Hash-Tabelle nicht neu erzeugen Wenn der NNTP-Dienst die Hash-Tabelle neu aufbaut, bringt ihn eine Null-Nachricht ins Schleudern. Als Folge bricht er den Vorgang ab, anstatt die Nachricht als ungültig zu markieren und fortzufahren. Damit ist die Hash-Tabelle nicht vollständig und nicht nutzbar. Internet Information Server stürzt ab Der IIS 5.0 reagiert auf bestimmte Zeichen im HTTP-Request-Header mit einer Schutzverletzung. Er wird zwar von Windows 2000 automatisch neu gestartet, doch Hacker können dieses Problem für eine DoS-Attacke missbrauchen, indem sie den IIS ständig abstürzen lassen. IIS findet Dateien nicht mehr Bestimmte Dateierweiterungen wie etwa .htm lassen sich über die Funktion "App Mappings" im Internet Service Manager von IIS so markieren, dass sie über das Include Statement andere Dateien einschließen können. Verwendet jedoch ein Default-Dokument, wie beispielsweise index.htm, ein Include Statement, kommt es zur Fehlermeldung "401 Zugriff verweigert" beim Internetnutzer. Das Problem tritt nicht auf, wenn der Dokumentenname dediziert angegeben wird, also beispielsweise www.server.de/index.htm. Datenausspähung per Indexserver Der Index-Dienst von Windows 2000 indiziert HTML-, Word-, Excel- und PowerPoint-Dokumente und stellt über den Internet Information Server eine Suchmaschine zur Verfügung. Die so genannte Hit-Highlighting-Funktion enthält jedoch einen Fehler, über den Internet-Benutzer auch Zugriff auf Dokumente erhalten können, die nicht im Internet-Verzeichnis liegen und dementsprechend nicht ins Web sollen. Um Zugriff zu erhalten, muss der Internet-Benutzer lediglich den Pfad- und Dateinamen angeben. Der Indexserver liefert dann die Textstelle mit dem gefundenen Schlüsselwort. SMTP-Server ausgebremst Der SMTP-Server von Windows 2000 bremst sich selber aus, wenn eine Vielzahl von derzeit unzustellbaren Mails im Ausgang liegen. Diese unzustellbaren Mails blockieren Filehandles, sodass für andere Mails unnötig viele Dateioperationen ausgeführt werden müssen. Diese Operationen kosten Rechenzeit und verlangsamen das System. Microsoft hat einen Patch für dieses Problem erstellt. Mit diesem stellt der SMTP-Server Mails, die wegen Unerreichbarkeit des Zielservers nicht ausgeliefert werden können, zunächst zurück und verwendet die Filehandles für die Verarbeitung anderer Nachrichten. Ein Fehler im Network Connection Manager des Betriebssystems erlaubt Angreifern den Zugang zum System. Mit dem Erlangen des Codes hat dieser Zugriff auf die vollen Systemrechte. Der Network Connection Manager (NCM) bietet einen Kontrollmechanismus für alle Netzwerk-Verbindungen, die von einem Host-System verwaltet werden. Eine so genannte "handler routine" kann dabei zu jedem Zeitpunkt aufgerufen werden, worin auch die Sicherheitslücke steckt. Denn ein Angreifer kann diese "handler routine" in der Sicherheitszone des lokalen Systems ausführen, was eigentlich nur in der Sicherheitszone des Anwenders geschehen sollte Benutzer kann Passwort nicht ändern Wenn ein NT-Server auf Windows 2000 Active Directory aufgerüstet und danach bei einem Benutzer die Option "Benutzer kann Passwort nicht ändern" zurückgesetzt wird, kann er sein Passwort trotzdem nicht ändern. Windows 2000 entfernt zwar den ACE (Access Control Entry), der den Schreibzugriff auf das Passwort verhindert, es setzt aber nicht den zusätzlich notwendigen ACE, der das Schreiben explizit erlaubt. Probleme mit serverbasierten Profilen Wenn ein serverbasiertes Profil auf einem Share gespeichert ist, das auch Services für Macintosh anbietet, kann es beim Log-in zu einer Fehlermeldung kommen. Windows beschwert sich, dass bestimmte Dateien nicht vom Share kopiert werden können und darum das Profil ungültig ist. Als Folge weist Windows dem Benutzer ein temporäres Profil zu, das beim Ausloggen wieder gelöscht wird. ============================================================================================================================= credits (im ersten wie im zweiten teil zu finden) Danke und Entschuldigung an all jene denen ich ohne einverstaendnis Textinhalte oder Ideen "gestohlen" habe: + Marco Ruef + Prof. Wiesner + -=Moses=- + Andrea Pinzani + LLNK + Der Typ der die .doc file sicherheit_windows_2000 + allen rootboardern + Manweis Janie indirekt beigetragen: + The Doors + Marylin Monroe + Jim Jarmusch lies den zweiten teil denn hier ist: =E=O=F=