Cómo atacar un servidor

Los servidores web se convertirán en el objetivo de la próxima generación de piratas informáticos. En general, todo lo que necesitas para llevar a cabo este tipo de ataque es un navegador web y una mente creativa. Anteriormente, los piratas informáticos se centraban en los sistemas operativos y los protocolos de red, pero a medida que las debilidades y vulnerabilidades de estos objetivos se solucionan gradualmente, se ha vuelto muy difícil llevar a cabo este tipo de ataques. Los sistemas operativos son cada vez más potentes y resistentes a los ataques. Los protocolos de red se están volviendo más seguros a medida que se incorporan tecnologías de autenticación y cifrado. Además, los firewalls son cada vez más inteligentes y actúan como una barrera protectora externa para redes y sistemas.

Por otro lado, la tecnología del comercio electrónico es cada vez más popular y sofisticada. Las aplicaciones basadas en web están cada vez más integradas con el sistema operativo subyacente y las bases de datos de back-end.

¿Por qué se descubren tan rápidamente las debilidades en los servidores y aplicaciones web?

Hay muchos factores que conducen al rápido aumento de las actividades de ciberpiratería. El principal de ellos es que los cortafuegos permiten que todo el tráfico web entre y salga de la red, mientras que los cortafuegos no pueden evitar ataques a los programas del servidor web, sus componentes o aplicaciones web. La segunda razón es que los servidores web y las aplicaciones basadas en web a veces se desarrollan con una mentalidad de "primero las características, luego la seguridad".

¿Cómo garantizar la seguridad de los servidores web cuando se enfrentan a grandes amenazas? Esto requiere que usted se mantenga al tanto de nueva información y nuevas situaciones, realice un seguimiento de los sitios web relevantes del servidor que utiliza todos los días, lea noticias relevantes y les pida consejo. Para facilitar el trabajo de todos en esta área, a continuación se presentan cuatro métodos de ataque comunes utilizados por los piratas informáticos en sistemas NT y también se presenta cómo prevenir dichos ataques.

Desbordamiento de búfer ism.dll de Microsoft IIS Servidores afectados: Servidores Windows NT que ejecutan IIS 4.0 con "Service Pack 3/4/5" La vulnerabilidad de seguridad de desbordamiento de búfer de Microsoft IIS es un problema persistente en los servidores Web Los principales problemas que existen. La vulnerabilidad de seguridad de los desbordamientos del búfer de Microsoft IIS ha sido una de las principales fallas de los servidores web. La vulnerabilidad se llama "IIS eEye", en honor al grupo que descubrió el problema. Al realizar un ataque de desbordamiento de búfer, un pirata informático ingresa más datos en un programa o servicio objetivo de los que el programa puede manejar, lo que provoca que el programa finalice abruptamente. Además, también se puede configurar para sobrescribir ciertas partes del programa en ejecución con entradas antes de que finalice, de modo que se puedan ejecutar comandos arbitrarios de piratas informáticos dentro del entorno seguro del servidor.

eEye descubrió que el programa intérprete utilizado por IIS para interpretar archivos HTR es ism.dll, que es altamente vulnerable a ataques de desbordamiento de búfer. Si un atacante pasa un nombre de archivo muy largo (aproximadamente 3000 caracteres o más) que termina en .htr a IIS, este valor de entrada provocará un desbordamiento del búfer de entrada en ism.dll y provocará que IIS falle. Si un atacante ingresa un código ejecutable (a menudo llamado "egg" o "shellcode") en lugar de una cadena de letras, el código se ejecutará antes de que finalice IIS. El método de ataque descubierto por el equipo de eEye

consta de tres pasos:

1. Crear un programa que escuche la actividad de conexión en cualquier puerto TCP. Una vez que se recibe una señal de conexión, el programa ejecuta un shell de comandos de Windows (cmd.exe) y vincula el shell a la conexión. Este programa es una versión modificada de Netcat, una popular utilidad de conexión de red cuyo código fuente está disponible gratuitamente.

2. Cree un desbordamiento de búfer en ism.dll de IIS y haga que IIS descargue el oyente (generado en el paso 1) desde un sitio web externo.

3. Ejecute el programa que acaba de descargar (generado en el paso 2), que esperará las conexiones entrantes y colocará al atacante en un shell de comandos de Windows.

Debido a que un desbordamiento del búfer hace que IIS cambie al shell de comandos de Windows antes de fallar, el shell se ejecutará en el contexto de los permisos de seguridad de IIS (equivalentes a los permisos de administrador de NT). De esta manera, el atacante solo necesita establecer una conexión con el puerto de escucha del servidor IIS atacado, esperar a que aparezca el mensaje c:> y todo estará listo. El atacante ahora tiene derechos administrativos sobre todo el servidor NT y puede hacer cualquier cosa, como agregar nuevos usuarios, modificar el contenido del servidor, formatear unidades o incluso usar el servidor como trampolín para atacar otros sistemas.

Los servidores Windows NT que ejecutan IIS 4.0 y "Service Pack 3/4/5" son vulnerables a estos ataques y Microsoft ha lanzado un parche para esta vulnerabilidad. El Service Pack 6 de Windows NT también ha sido parcheado.