защита от NetBIOS NBSTAT Traffic Amplification

Все еще актуальная уязвимость протокола NetBIOS, может быть использована злоумышленниками. Она позволяет перехватывать весь сетевой трафик пользователей Windows. Критическая уязвимость получила название BadTunnel.
BadTunnel позволяет злоумышленникам контролировать не только HTTP и HTTPS-запросы, но и всю сетевую активность операционной системы. Например, вмешиваться в загрузку системных обновлений и процесс получения списков сертификатов. Уязвимы все версии ОС Windows.
По словам обнаружившего уязвимость исследователя Яна Ю (Yang Yu), перенаправление трафика жертвы может осуществляться с помощью поддельного WPAD-файла (Web Proxy Auto Discovery) или ISATAP-сервера.

Использование таких средств, как межсетевые экраны или NAT не может предотвратить атаки с применением уязвимости BadTunnel. По словам Яна Ю, причина этого кроется в том, что протокол UDP не устанавливает соединения, а используется для создания туннеля.

Microsoft опубликовала бюллетени безопасности MS16-063 и MS16-077, устраняющие ошибку в последних версиях Windows.
Суть этих обновлений заключается в том, что теперь периодическое определение имени WPAD выключено по умолчанию, а NBSTAT запросы из домашней сети также по умолчанию заблокированы. Эти изменения регулируются ключами реестра и делают невозможным установление UDP тоннеля для проведения атаки с использованием BadTunnel.

Однако уязвимость сохранилась в устаревших и ныне не поддерживаемых версиях ОС. В их числе Windows XP и Windows Server 2003. Пользователям этих систем для того, чтобы обезопасить себя, необходимо заблокировать порт UDP 137.

Проверить уязвимость NetBIOS-сервиса можно обратившись к нему следующим образом:
Windows:

nbtstat -A ***.***.***.***

Debian, Ubuntu:

apt-get install samba-common-bin
nmblookup -A ***.***.***.***

Centos:

yum install samba-client
nmblookup -A ***.***.***.***

где ***.***.***.*** — IP-адрес сервера.

Пример ответа сервера с ОС Debian:

#Looking up status of ***.***.***.***
# SB904498D <00> - B
# SB904498D <03> - B

# SB904498D <20> - B

# ..__MSBROWSE__. <01> - B
# WORKGROUP <1d> - B

# WORKGROUP <1e> - B
# WORKGROUP <00> - B
# MAC Address = 00-00-00-00-00-00

Если в ответ Вы получаете данные от NetBIOS-сервиса, значит Ваш сервер уязвим.
Обычно служба samba на сервере вовсе не нужна и её можно остановить:
Debian 6, 7, Ubuntu 12.04, 14.04:

service samba stop; update-rc.d -f samba remove

Debian 8:

systemctl stop samba; systemctl disable samba

CentOS 6:

service smb stop; chkconfig smb off

CentOS 7:

systemctl stop smb; systemctl disable smb

Или удалить:
Debian, Ubuntu:

apt-get remove samba

CentOS:

yum remove samba

Если служба samba нужна, но не требуется её NetBIOS составляющая, можно в конфиг /etc/samba/smb.conf добавить строку

disable netbios = yes

Если же необходима работа именно NetBIOS, то необходимо настроить правила iptables, например следующим образом:

iptables -I INPUT -p udp -m udp --dport 137 -j DROP
iptables -I INPUT -p udp -m udp -s 11.22.33.44 --dport 137 -j ACCEPT

где 11.22.33.44 — разрешённый IP-адрес.

Для отключения NetBIOS в ОС Windows, Вам следует зайти в настройки Вашего сетевого подключения, затем Свойства -> Протокол Интернета версии 4 (TCP/IPv4) -> Расширенные -> вкладка WINS. После этого внизу будет поле «Параметры NetBIOS», где необходимо выбрать «отключить NetBIOS».

Профит :-)

Скажите свое мнение

ваш email не публикуется. обязательно *

;-) :yawn: :whew: :toivo: :tmi: :time: :thinking: :talking: :sweating: :swear: :sun: :star: :smoke: :smirk: :sleepy: :skype: :shock: :shake: :rofl: :rain: :punch: :puke: :poolparty: :pizza: :phone: :party: :oops: :nod: :no: :ninja: :neutral: :nerd: :music: :muscle: :mrgreen: :movie: :mooning: :mmm: :middlefinger: :makeup: :mail: :mad: :lol: :lipssealed: :kiss: :itwashtme: :inlove: :idea: :hi: :heidy: :heart: :headbang: :happy: :handshake: :giggle: :fubar: :flower: :evilgrin: :emo: :dull: :drunk: :drink: :doh: :devil: :dance: :cry: :cool: :coffie: :clapping: :cash: :call: :cake: :bug: :brokenheart: :bow: :blush: :beer: :bear: :bandit: :arrow: :angry: :angel: :^) :???: :?: :-| :-o :-P :-D :-) :-( :!:

 

*

code

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.