none
Выявлена уязвимость на контроллере домена. RRS feed

  • Вопрос

  • В ходе проверки на контроллере домена с ОС Windows Server 2012 R2 обнаружена возможность выполнения запросов NULL BASE по протоколу LDAP/389, LDAP/3268 с получением сведений о политике паролей контроллера домена. Предлагают для устранения уязвимости запретить использование запросов NULL BASE. Подскажите пожалуйста как это сделать?
    • Изменено Viktor89 23 августа 2016 г. 12:30
    23 августа 2016 г. 11:24

Ответы

Все ответы

  • XSpider?

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    23 августа 2016 г. 11:31
  • Max Patrol
    23 августа 2016 г. 11:36
  • Добрый день.

    А данный документ вы читали Security issues with LDAP NULL base connections

    23 августа 2016 г. 11:53
  • Добрый день.

    А данный документ вы читали Security issues with LDAP NULL base connections

    а чо там читать? он ваще для 200й винды.. но актуален да...

    я вон просто ручками ткнул, правда на 2012 R2:

    ld = ldap_open("localhost", 389);
    Established connection to localhost.
    Retrieving base DSA information...
    Getting 1 entries:
    Dn: (RootDSE)
    configurationNamingContext: CN=Configuration,DC=contoso,DC=local; 
    currentTime: 8/23/2016 4:58:21 AM Pacific Daylight Time; 
    defaultNamingContext: DC=contoso,DC=local; 
    dnsHostName: WIN-RE82LSUM61N.contoso.local; 
    domainControllerFunctionality: 6 = ( WIN2012R2 ); 
    domainFunctionality: 6 = ( WIN2012R2 ); 
    dsServiceName: CN=NTDS Settings,CN=WIN-RE82LSUM61N,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=local; 
    forestFunctionality: 6 = ( WIN2012R2 ); 
    highestCommittedUSN: 57373; 
    isGlobalCatalogReady: TRUE; 
    isSynchronized: TRUE; 
    ldapServiceName: contoso.local:win-re82lsum61n$@CONTOSO.LOCAL; 
    namingContexts (5): DC=contoso,DC=local; CN=Configuration,DC=contoso,DC=local; CN=Schema,CN=Configuration,DC=contoso,DC=local; DC=DomainDnsZones,DC=contoso,DC=local; DC=ForestDnsZones,DC=contoso,DC=local; 
    rootDomainNamingContext: DC=contoso,DC=local; 
    schemaNamingContext: CN=Schema,CN=Configuration,DC=contoso,DC=local; 
    serverName: CN=WIN-RE82LSUM61N,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=local; 
    subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=contoso,DC=local; 
    supportedCapabilities (6): 1.2.840.113556.1.4.800 = ( ACTIVE_DIRECTORY ); 1.2.840.113556.1.4.1670 = ( ACTIVE_DIRECTORY_V51 ); 1.2.840.113556.1.4.1791 = ( ACTIVE_DIRECTORY_LDAP_INTEG ); 1.2.840.113556.1.4.1935 = ( ACTIVE_DIRECTORY_V61 ); 1.2.840.113556.1.4.2080 = ( ACTIVE_DIRECTORY_V61_R2 ); 1.2.840.113556.1.4.2237 = ( ACTIVE_DIRECTORY_W8 ); 
    supportedControl (37): 1.2.840.113556.1.4.319 = ( PAGED_RESULT ); 1.2.840.113556.1.4.801 = ( SD_FLAGS ); 1.2.840.113556.1.4.473 = ( SORT ); 1.2.840.113556.1.4.528 = ( NOTIFICATION ); 1.2.840.113556.1.4.417 = ( SHOW_DELETED ); 1.2.840.113556.1.4.619 = ( LAZY_COMMIT ); 1.2.840.113556.1.4.841 = ( DIRSYNC ); 1.2.840.113556.1.4.529 = ( EXTENDED_DN ); 1.2.840.113556.1.4.805 = ( TREE_DELETE ); 1.2.840.113556.1.4.521 = ( CROSSDOM_MOVE_TARGET ); 1.2.840.113556.1.4.970 = ( GET_STATS ); 1.2.840.113556.1.4.1338 = ( VERIFY_NAME ); 1.2.840.113556.1.4.474 = ( RESP_SORT ); 1.2.840.113556.1.4.1339 = ( DOMAIN_SCOPE ); 1.2.840.113556.1.4.1340 = ( SEARCH_OPTIONS ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 2.16.840.1.113730.3.4.9 = ( VLVREQUEST ); 2.16.840.1.113730.3.4.10 = ( VLVRESPONSE ); 1.2.840.113556.1.4.1504 = ( ASQ ); 1.2.840.113556.1.4.1852 = ( QUOTA_CONTROL ); 1.2.840.113556.1.4.802 = ( RANGE_OPTION ); 1.2.840.113556.1.4.1907 = ( SHUTDOWN_NOTIFY ); 1.2.840.113556.1.4.1948 = ( RANGE_RETRIEVAL_NOERR ); 1.2.840.113556.1.4.1974 = ( FORCE_UPDATE ); 1.2.840.113556.1.4.1341 = ( RODC_DCPROMO ); 1.2.840.113556.1.4.2026 = ( DN_INPUT ); 1.2.840.113556.1.4.2064 = ( SHOW_RECYCLED ); 1.2.840.113556.1.4.2065 = ( SHOW_DEACTIVATED_LINK ); 1.2.840.113556.1.4.2066 = ( POLICY_HINTS_DEPRECATED ); 1.2.840.113556.1.4.2090 = ( DIRSYNC_EX ); 1.2.840.113556.1.4.2205 = ( UPDATE_STATS ); 1.2.840.113556.1.4.2204 = ( TREE_DELETE_EX ); 1.2.840.113556.1.4.2206 = ( SEARCH_HINTS ); 1.2.840.113556.1.4.2211 = ( EXPECTED_ENTRY_COUNT ); 1.2.840.113556.1.4.2239 = ( POLICY_HINTS ); 1.2.840.113556.1.4.2255; 1.2.840.113556.1.4.2256; 
    supportedLDAPPolicies (19): MaxPoolThreads; MaxPercentDirSyncRequests; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxPageSize; MaxBatchReturnMessages; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MinResultSets; MaxResultSetsPerConn; MaxNotificationPerConn; MaxValRange; MaxValRangeTransitive; ThreadMemoryLimit; SystemMemoryLimitPercent; 
    supportedLDAPVersion (2): 3; 2; 
    supportedSASLMechanisms (4): GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5; 
    
    -----------
    res = ldap_simple_bind_s(ld, '', <unavailable>); // v.3
    Authenticated as: 'NT AUTHORITY\ANONYMOUS LOGON'.
    -----------
    ***Searching...
    ldap_search_s(ld, "DC=contoso,DC=local", 1, "(objectclass=*)", attrList,  0, &msg)
    Error: Search: Operations Error. <1>
    Server error: 000004DC: LdapErr: DSID-0C090728, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v2580
    Error 0x4DC The operation being requested was not performed because the user has not been authenticated.
    Result <1>: 000004DC: LdapErr: DSID-0C090728, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v2580
    Getting 0 entries:
    -----------
    

    23 августа 2016 г. 12:02
  • Некоторые продукты для оценки безопасности сторонних может вернуть предупреждение отсканировав контроллера домена под управлением Microsoft Windows


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    23 августа 2016 г. 12:13
  • По умолчанию он отключён с Win2003 (By default, anonymous LDAP operations, except rootDSE searches and binds, are not permitted on Windows 2003 domain controllers or higher.), но его могли включить ручками.
    23 августа 2016 г. 12:24
  • Я это уже читал, что по умолчанию анонимные LDAP операции отключены на контроллерах домена с Win2003. Где в Windows 2008 R2, 2012 R2 можно проверить, что действительно ли они включены на сервере или это Max Patrol ошибается, мягко говоря?
    • Изменено Viktor89 23 августа 2016 г. 12:48
    23 августа 2016 г. 12:43
  • я вам вывод лдп показал..

    повторить сможете?

    через бинд выберите симпл логон цепляйтесь и пытайтесь получить чо нить

    • Помечено в качестве ответа Viktor89 24 августа 2016 г. 12:05
    23 августа 2016 г. 13:22
  • На сколько я помню Max Patrol в отчётах ссылается на то как он принял решение об уязвимости и о том как ее устранить, соответственно можно проверить эти значения.

    Как проверить ошибается ли Max Patrol (а он бывает ошибается, за ним это замечено), вам написали ваше (проверить подключение по ldp).

    23 августа 2016 г. 14:29
  • я вам вывод лдп показал..

    повторить сможете?

    через бинд выберите симпл логон цепляйтесь и пытайтесь получить чо нить

     Не совсем понял, чтобы повторить. Расскажи пожалуйста по подробней.
    • Изменено Viktor89 24 августа 2016 г. 9:43
    24 августа 2016 г. 9:40
  • В командной строке набираете ldp.exe

    Connection->Bind->Simple bind далее OK.

    Далее

    Browse-> Search
    • Изменено Nikonov Aleksei 24 августа 2016 г. 10:48
    • Помечено в качестве ответа Viktor89 24 августа 2016 г. 12:04
    24 августа 2016 г. 10:43
  •  После манипуляций с обозревателем LDAP  выяснил, что анонимным пользователем с помощью запроса NULL BASE получить какие-нибудь сведения из домена не возможно. Но выяснил что из статьи http://securitysynapse.blogspot.ru/2013/09/dangers-of-ldap-null-base-and-bind.html возможно получить сведения из домена прошедшим проверку пользователям домена запросом NULL BASE в обозревателе LDAP.

    Оказывается Max Patrol указывает на эту уязвимость, т.к. обычный пользователь своего домена может прочитать конфиденциальную информацию.

    Кто знает как запретить прошедшим проверку пользователям домена, кроме администраторов домена, получать сведения из домена, подключаясь к контроллеру домена Win2012R2 с помощью запроса NULL BASE в обозревателе LDAP ? 






    • Изменено Viktor89 26 августа 2016 г. 12:17
    26 августа 2016 г. 11:25
  • выключить сервак, выдавить стекло, не?

    как у вас домен то работать будет?

    26 августа 2016 г. 12:40