De Nessus scan We hebben ervoor gekozen om de webserver met behulp van Nessus uitvoerig te testen. We hebben Nessus op de testserver laten draaien, maar deze server komt grotendeels overeen met de productieserver. Nessus We hebben de server gescanned met Nessus versie 4.2.2 (HomeFeed). Dit ging niet zonder slag of stoot. Voordat je kunt beginnen met scannen, moet je eerst een Activation Code invullen. Deze wordt door Nessus via hun website gevalideerd. Maar omdat de server zo is ingericht dat je er niet op kunt internetten, kon Nessus de code zelf niet controleren. Via de help-pagina van Nessus zijn we erin geslaagd om een offline activation te bewerkstelligen. Nog steeds konden we de Nessus server niet starten, omdat Nessus eerst de meest up-to-date plugins wil downloaden. Wederom lukte dit niet, wegens beveiligingen op de server. Na ook de laatste plugins offline geïnstalleerd te hebben, konden we aan de slag. We hebben met verschillende policies gescanned om te kijken welke policy het beste bij onze server past. De laatste scan vond plaats op maandag 5 juli 2010, om 12:33. Server informatie De server draait op Microsoft Windows Server 2003, Standard Edition (Engelstalig). De NetBIOS naam is TYCHE. De server heeft geen DNS naam. Resultaten van de scan Open poorten
30
High vulnerabilities
15
Medium vulnerabilites
3
Low vulnerabilities
93
Om het enigszins overzichtelijk te houden behandelen we enkel de High en Medium vulnerabilities.
High vulnerabilites Naam
MS09-004: Vulnerability in Microsoft SQL Server Could Allow Remote Code Execution (959420) (uncredentialed check)
Poort
1433 / tcp
Bedreiging
Kwaadaardige code kan uitgevoerd worden op deze (remote) SQL server.
Omschrijving
Deze versie van Microsoft SQL Server is kwetsbaar voor een zogenoemde ʻauthenticated remote code execution vulnerabilityʼ in de MSSQL extended store procedure ʻsp_replwritetovarbinʼ door een invalide parameter check.
Oplossing
Microsoft heeft hiervoor verschillende patches uitgebracht. Na het installeren van deze patches (http://www.microsoft.com/ technet/security/bulletin/MS09-004.mspx) is het lek gedicht.
Naam
MS08-040: Microsoft SQL Server Multiple Privilege Escalation (941203) (uncredentialed check)
Poort
1433 / tcp
Bedreiging
De (remote) SQL server is vulnerable voor ʻmemory corruption flawsʼ.
Omschrijving
Deze versie van Microsoft SQL Server is kwetsbaar voor meerdere ʻmemory corruption issuesʼ. Deze kwetsbaarheden kan een ʻhackerʼ gebruiken om zijn eigen rechten binnen deze SQL server te verhogen.
Oplossing
Microsoft heeft hiervoor verschillende patches uitgebracht. Na het installeren van deze patches (http://www.microsoft.com/ technet/security/bulletin/MS08-040.mspx) is het lek gedicht.
Naam
MS08-040: Microsoft SQL Server Multiple Privilege Escalation (941203) (uncredentialed check)
Poort
1433 / tcp
Bedreiging
De (remote) SQL server is vulnerable voor ʻmemory corruption flawsʼ.
Omschrijving
Deze versie van Microsoft SQL Server is kwetsbaar voor meerdere ʻmemory corruption issuesʼ. Deze kwetsbaarheden kan een ʻhackerʼ gebruiken om zijn eigen rechten binnen deze SQL server te verhogen.
Oplossing
Microsoft heeft hiervoor verschillende patches uitgebracht. Na het installeren van deze patches (http://www.microsoft.com/ technet/security/bulletin/MS08-040.mspx) is het lek gedicht.
Naam
MS09-003: Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution (959239)
Poort
445 / tcp
Bedreiging Omschrijving
Kwaadaardige code kan uitgevoerd worden via deze email server. Deze versie van Microsoft Exchange is kwetsbaar voor twee soort aanvallen: - Een ʻmemory corruption vulnerabilityʼ die kan lijden tot het uitvoeren van kwaadaardige code wanneer er een bewerkt TNEF bericht verwerkt wordt. - En ʻdenial of service vulnerabilityʼ wanneer er een bewerkt MAPI commando uitgevoerd wordt. Deze aanval kan leiden tot het stoppen van alle services die de EMSMDB32 provider gebruiken.
Oplossing
Microsoft heeft hiervoor verschillende patches uitgebracht. Na het installeren van deze patches (http://www.microsoft.com/ technet/security/bulletin/MS09-003.mspx) zijn de lekken gedicht.
Naam
Windows Help Center hcp:// Protocol Handler Arbitrary Code Execution (2219475)
Poort
445 / tcp
Bedreiging Omschrijving
Oplossing
Kwaadaardige code kan uitgevoerd worden door gebruik te maken van het Windows Help en Support Center. Wanneer een hacker een gebruiker kan strikken om een besmette website te bezoeken die begint met ʻhcp://ʼ in de URL, kan de hacker kwaadaardige code uitvoeren, afhankelijk van de rechten van de gebruiker. Dit komt omdat Windows Help en Support Center URLʼs niet op geldigheid controleert. Omdat hier nog geen patch voor is, is een tijdelijke oplossing het uitzetten van het HCP protocol. Een nadeel hiervan is wel dat er geen enkele ʻhcp://ʼ website bezocht kan worden.
Naam
Adobe Reader < 7.1.0 Multiple Vulnerabilities
Poort
445 / tcp
Bedreiging
Er kunnen op veel manieren kwaadaardige code uitgevoerd worden.
Omschrijving
Omdat er een oude versie (< 7.1.0) van Adobe Reader geïnstalleerd is, kunnen er op veel manieren kwaadaardige code uitgevoerd worden.
Oplossing
Een oplossing is erg simpel; namelijk upgraden naar de meest recente versie van Adobe Reader.
Medium vulnerabilities Naam
Microsoft Windows Remote Desktop Protocol Server Man in the Middle Weakness
Poort
3389 / tcp
Bedreiging
Het kan mogelijk zijn om van buitenaf toegang tot de server te krijgen.
Omschrijving
De Remote Desktop Protocol (RDP) Server (Terminal Service) is kwetsbaar voor een ʻMan in the middle aanvalʼ (MiTM). De RDP client controleert de identiteit van de server niet, wanneer de encryptie op wordt gezet. Wanneer een hacker data van de RDP server kan onderscheppen kan deze een encryptie opzetten tussen de client en de server zonder op te vallen. Door een dergelijke MiTM aanval kan de hacker gevoelige gegevens onderscheppen, inclusief bijvoorbeeld authenticatie credentials. Deze bug ontstaat doordat de RDP server een ʻhardcodedʼ RSA private key opslaat in de mstlsapi.dll bibliotheek. Iedere lokale gebruiker met rechten om dit bestand te openen, kan zodoende deze sleutel opzoeken en gebruiken voor de MiTM aanval.
Oplossing
Door SSL te gebruiken als transport laag voorkom je dat deze aanval plaats kan vinden.
Naam
MS10-024: Vulnerabilities in Microsoft Exchange and Windows SMTP Service Could Allow Denial of Service (981832)
Poort
445 / tcp
Bedreiging
Deze mailserver kan kwetsbaar zijn voor verschillende bedreigingen.
Omschrijving
Deze versie van Microsoft Exchange / Windows SMTP Service is tenminste kwetsbaar voor een van de volgende kwetsbaarheden: - Foutieve afhandeling van de DNS Mail Exchanger (MX) bronrecords kan leiden dat het SMTP protocol stopt met functioneren, totdat de service opnieuw wordt opgestart. - Ongeldige allocatie van het geheugen voor het interpreteren van SMPT commandoʼs kan een hacker toegang geven tot het lezen van willekeurige stukken van emails. - Voorspelbare transactie IDʼs worden gebruikt om een zogenoemde MiTM aanval toegang te geven om DNS antwoorden af te luisteren. - Er wordt niet gecontroleerd of een transactie ID van een antwoord overeen komt met het transactie ID van een vraag. Ook dit kan zorgen dat een MiTM aanval toegang krijgt tot het afluisteren van DNS antwoorden.
Oplossing
Microsoft heeft hiervoor verschillende patches uitgebracht. Na het installeren van deze patches (http://www.microsoft.com/ technet/security/bulletin/MS10-024.mspx) zijn de lekken gedicht.
Naam
MS08-039: Vulnerabilities in Outlook Web Access for Exchange Server Could Allow Elevation of Privilege (953747)
Poort
445 / tcp
Bedreiging Omschrijving
Oplossing
Deze webserver is kwetsbaar voor zogenoemde cross-site scripting (XSS) lekken Er draait een Outlook Web Access (OWA) versie voor de Exchange Server die kwetsbaar is voor verschillende XSS lekken in de HTML parser en Data validation code. Deze kwetsbaarheden zorgen ervoor dat een hacker zijn eigen rechter kan verhogen, wanneer een gebruiker een besmette email opent. Microsoft heeft hiervoor verschillende patches voor OWA 2003 en 2007 uitgebracht. Na het installeren van deze patches (http://www.microsoft.com/technet/security/bulletin/ MS08-039.mspx) zijn de lekken gedicht.
Conclusie Over het algemeen is de server goed beveiligd. Een hacker kan in ieder geval niet zomaar binnendringen. De meeste kwetsbaarheden zitten in het draaien van verouderde/ ongepatchte software. Dit is dus zeer makkelijk te verhelpen. Door bijvoorbeeld de nieuwste versie van Adobe Reader te installeren, worden al 11 van de 15 high-risk kwetsbaarheden onschadelijk gemaakt. Door het patchen van andere services worden 3 van de overige 4 kwetsbaarheden onschadelijk gemaakt. De laatste high-risk kwetsbaarheid zit in het Windows Help Center. Hiervoor is nog geen patch uitgebracht. Enkel door die service uit te schakelen is het probleem definitief verholpen. Van de medium-risk kwetsbaarheden zijn 2 van de 3 ook op te lossen met behulp van Windows patches. De laatste medium risk kwetsbaarheid is op te lossen door gebruik te maken van SSL als transport laag.
