[Win2003] Onbekende exploit in terminal services? - Privacy en beveiliging

woensdag 16 juni 2004 20:21

Acties:

Verwijderd

Topicstarter

2 Dagen geleden had ik al gemeld dat onze Win2003 Server Web Edition gehacked was, en daar wat vragen over gesteld. Op wonderbaarlijke wijze is dat topic echter verdwenen. Geen slotje maar gewoon helemaal weg. Nou ja, geeft niet...

Maar gisteravond zat ik via PC-Anywhere naar de desktop van die server te kijken, en zag opeens de muis bewegen! Notepad geopend, en 'm vriendelijk gevraagd om 't pand te verlaten, maar daarna ontstond een soort van gesprek. (hier staat de volledige, niet ge-editte tekst).

2 Dingen die 'ie zei:

"Just curious, how did you take over this desktop?

terminal server is installed but disabled... but files where there.. just exploited..
internal exploit not public:)"

en

"Do you mind if I save this conversation just to convince
my boss that security is a big issue?

sure you can do:) but dont public that what i sayed about termserv gg
dont like to see that microsoft starting to patch that hehe"

Ik ben daarna natuurlijk op 't internet aan het zoeken gegaan naar known vulnerabilities in terminal services van Win2003 (met alle updates en security patches), maar heb niks zinvols kunnen vinden.

woensdag 16 juni 2004 20:21

Acties:

Mike Jarod

Het is gemoved naar BV: Windows 2003 webserver gehacked, maar hoe?

edit:
klik op je naam om je post history te bekijken...

[ Voor 26% gewijzigd door Mike Jarod op 16-06-2004 20:22 ]

woensdag 16 juni 2004 20:33

Acties:

Verwijderd

Topicstarter

Mike, dank je. (ik wist niet eens dat ik een post history kon bekijken...

)

woensdag 16 juni 2004 21:06

Acties:

Verwijderd

En deze gaat ook naar Beveiliging & Virussen

Dat is namelijk het forum voor topics over beveiliging.

woensdag 16 juni 2004 21:25

Acties:

Brahiewahiewa

boelkloedig

Op zich is er geen sprake van een "Terminal Server" exploit.
Zoals de hacker in kwestie je al vriendelijk uitlegt heb je gewoon een veel te zwak admin password gebruikt; da's ge-brute-forced en daarna is het starten van iedere service (dus ook Terminal Service) een fluitje van een cent. 'k Bedoel, al zouden de bestanden voor Terminal Service er niet op hebben gestaan, dan zou-ie even gemakkelijk VNC, PCAnywhere, DameWare of andere remote desktop software hebben kunnen uploaden. Daarnaast heeft een beetje hacker/cracker ook geen remote desktop nodig; er is niets wat je op de desktop kunt doen, wat je ook niet op een andere manier kunt bewerkstelligen.

Trouwens ook wel bizar slecht dat je èn poort 445 open laat staan (gewoon NetBIOS aan je public adapter, terwijl in iedere beginners guide staat hoe je dat uit moet zetten) èn SQL server wijd open hebt staan (normaal creëer je een loopback adapter en bind je SQL alleen daar aan) èn een password van 7 karakters. (Windows versleutelt passwords in twee blokken van 7 karakters. Als je password 7 karakters of korter is, is het tweede blok dus helemaal blank en kun je eenvoudig de encryptie sleutel terugrekenen)

offtopic:
Just curious: je laat je baas dus ook lezen dat-ie die 1000 €uro voor de firewall in z'n zak had kunnen houden?

[ Voor 6% gewijzigd door Brahiewahiewa op 16-06-2004 21:28 ]

QnJhaGlld2FoaWV3YQ==

woensdag 16 juni 2004 21:32

Acties:

elevator

Officieel moto fan :)

daarnaast nog even de opmerking dat als er (zoals er in je log te lezen valt) een rootkit geinstalleerd is geweest dat je toch echt wel moet herinstalleren en niet er maar van uit moet gaan dat je server nu "schoon" is.

woensdag 16 juni 2004 21:55

Acties:

Verwijderd

Topicstarter

We hebben hier 3 dingen fout gedaan: Win2003 Web Edition gebruiken, de boel al online brengen voordat die firewall er was (Web editition heeft geen ICF), en mij het laten doen (ik ben programmeur, geen systeembeheerder).
En ja, m'n baas weet dat die hardware firewall misschien niet nodig was, en ja, ik weet dat 't systeem vanaf scratch moet worden opgezet. En ik heb geloof ik al wel bewezen dat ik niet in de wieg gelegd ben voor beveiligings-deskundige...

Maar:
"internal exploit not public:)"

Daar was 'ie nogal geheimzinnig over.
En Terminal Services zijn op die machine nog steeds disabled volgens Windows, terwijl iedereen (behalve ik) er toch driftig gebruik van kan maken.

woensdag 16 juni 2004 22:12

Acties:

elevator

Officieel moto fan :)

Je terminal server service zal gewoon gestart zijn - als die dan disabled is maakt dat verder niet uit zolang ie gestart is. Hij zal alleen niet opnieuw willen starten

woensdag 16 juni 2004 22:49

Acties:

Verwijderd

Topicstarter

Brahiewahiewa schreef op 16 juni 2004 @ 21:25:
Trouwens ook wel bizar slecht dat je èn poort 445 open laat staan (gewoon NetBIOS aan je public adapter, terwijl in iedere beginners guide staat hoe je dat uit moet zetten) èn SQL server wijd open hebt staan (normaal creëer je een loopback adapter en bind je SQL alleen daar aan) èn een password van 7 karakters. (Windows versleutelt passwords in twee blokken van 7 karakters.

* Poort 445 was m'n eerste idee, maar die bleek gewoon netjes dicht te staan, net als 137-139.

* Win2003 Server, Web Edition ondersteunt geen MS SQL Server, en je moet dan terug naar MSDE. Weet jij hoe ik die alleen aan localhost kan binden?

* Dat van die 7 karakters wist ik niet. Bedankt voor de tip!

woensdag 16 juni 2004 22:58

Acties:

Verwijderd

Topicstarter

elevator schreef op 16 juni 2004 @ 22:12:
Je terminal server service zal gewoon gestart zijn - als die dan disabled is maakt dat verder niet uit zolang ie gestart is. Hij zal alleen niet opnieuw willen starten

"Administrative tools -> Services -> alles wat met 'Remote' begint", en dan "stop" kiezen. Zou toch genoeg moeten zijn? Niet dus, helaas.

donderdag 17 juni 2004 01:01

Acties:

alt-92

ye olde farte

Misschien is het geen verkeerd idee om samen met een beveiligings-deskundig persoon eens een aantal dingen door te lopen.
Daarbij zul je waarschijnlijk ook als programmeur veel meer moeten aanpassen om secure applications te maken gezien de nauwe integratie van OS en software.
* alt-92 schopt zn webdevver ook als die unsafe dingen progt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 17 juni 2004 01:27

Acties:

Brahiewahiewa

boelkloedig

Verwijderd schreef op 16 juni 2004 @ 21:55:
...Maar:
"internal exploit not public:)"

Daar was 'ie nogal geheimzinnig over.
En Terminal Services zijn op die machine nog steeds disabled volgens Windows, terwijl iedereen (behalve ik) er toch driftig gebruik van kan maken.

Remote Desktop zul je bedoelen; da's Terminal Service voor maximaal 2 sessies.
Met het zetten van een registry key kun je Remote Desktop eenvoudig aanzetten; doet niemand geheimzinnig over en is gewoon gedocumenteerd door Microsoft

QnJhaGlld2FoaWV3YQ==

vrijdag 18 juni 2004 18:41

Acties:

Verwijderd

Topicstarter

BackSlash32 schreef op 17 juni 2004 @ 01:01:
Misschien is het geen verkeerd idee om samen met een beveiligings-deskundig persoon eens een aantal dingen door te lopen.

Gisteren die machine opnieuw opgezet (met de extra kennis die ik door schade en schande heb opgedaan deze week), en vandaag samen met een expert de boel doorgenomen en een hardware firewall geinstalleerd (Juniper Netscreen 5GT).
Dat laatste is nog niet helemaal gelukt: 't ding firewallt ietsje te goed, maar dat gaat wel goed komen.

Daarbij zul je waarschijnlijk ook als programmeur veel meer moeten aanpassen om secure applications te maken gezien de nauwe integratie van OS en software.
/me schopt zn webdevver ook als die unsafe dingen progt.

Als programmeur heb ik 't zelf in handen, en kan ik precies bepalen welke delen van 't programma mogen communiceren met het OS, en wat ze dan wel en niet mogen doen. IP communicatie beperken tot het locale netwerk bijvoorbeeld, of een eigen session management toevoegen aan web services, gewoon voor extra veiligheid.

/me heeft ook wel unsafe dingen geprogt in het verleden, en werd toen ook geschopt...

Pagina: 1

Reageer