GUIA CISSP

Ola pessoal,

A Microsoft acabou de disponibilizar o patch para correção da vulnerabilidade no Internet Explorer, conforme informei no post anterior.

Para maiores detalhes consulte o site abaixo:

http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx

Ola pessoal,

Em 14/01/2010 a Microsoft publicou no blog  The Microsoft Security Response Center (MSRC) o post Security Advisory 979352 Released referente a vulnerabilidade descoberta no Internet Explorer, a qual permite execução de código remoto. O patch para correção dessa vulnerabilidade está sendo desenvolvido pela Microsoft e segundo o post publicado no blog MSRC Advance Notification for Out-of-Band Bulletin Release hoje será disponibilizado o patch para correção.

Até o momento a vulnerabilidade foi explorada somente no Internet Explorer 6, porém a Microsoft recomenda que todos seus clientes atualizem o Internet Explorer para versão 8.

Quando a Microsoft disponibilizar a correção estarei publicando aqui no Blog.

Um abraço.

A Microsoft divulgou em 14 de Janeiro o Security Advisory 979352, relativo a uma vulnerabilidade no Internet Explorer 6.0 Service Pack 1, Internet Explorer 7 e Internet Explorer 8. Esta vulnerabilidade pode ser explorada por uma página Web maliciosa e permite que seja executado código com os mesmos privilégios do usuário.

Esta vulnerabilidade foi utilizada em ataques específicos contra a Google Inc. e outras empresas na República Popular da China. A Microsoft não tem conhecimento até o momento de uso mais amplo desta vulnerabilidade na Internet.

A Microsoft está trabalhando no desenvolvimento de uma correção  para o problema que deve estar disponível assim que possível, incluindo possivelmente divulgá-la fora do data normal (segunda terça-feira de cada mês). Por enquanto as seguintes ações de proteção podem ser tomadas:

■ Modo Protegido - No Windows Vista e Windows 7 o Internet Explorer por default trabalha em Modo Protegido (Protected Mode) para sites da Internet, o que mitiga o risco de exploração desta vulnerabilidade.  A Microsoft recomenda que você sempre que possível use o Modo Protegido para navegar na Internet.

Caso o Modo Protegido não esteja ativado para sites da Internet, você pode ativá-lo abrindo o menu Ferramentas e em seguida selecionando o menu Opções da Internet. O Modo Protegido pode ser ativado na guia Segurança, conforme a imagem abaixo:

■ Data Execution Prevention – Além de sempre utilizar o Modo Protegido para navegar na Internet, usuários do Internet Explorer 7 são encorajados a habilitar o recurso de Data Execution Prevention (DEP), que torna mais difícil a execução de um ataque contra esta vulnerabilidade. O DEP já é habilitado por default no Internet Explorer 8.

Para habilitar o DEP no Internet Explorer 7, clique no botão Fix It abaixo. Para o Fix It funcionar você deve estar executar o Internet Explorer como administrador (no Vista, clique com botão direito e selecione Executar como Administrador), e depois reiniciar o Internet Explorer para que o DEP seja efetivamente ativado.

■ Usuário Não-Administrador – Para limitar o impacto da vulnerabilidade, navegue na Internet com uma conta de usuário que não seja administradora do sistema.

Este post do blog será atualizado assim que novas informações estiverem disponíveis.

Atualização (15/1/2009) – O SANS reporta que o código-fonte de um exploit para a vulnerabilidade foi divulgado na Internet. Este exploit somente afeta o Internet Explorer 6. As versões mais novas do Internet Explorer possuem mecanismos de proteção como o Modo Protegido e o DEP que tornam a exploração da vulnerabilidade muito mais difícil.

fonte: http://blogs.technet.com/risco/archive/2010/01/15/alerta-de-vulnerabilidade-internet-explorer.aspx

A Microsoft confirmou na sexta-feira (13/11) a existência de uma vulnerabilidade no Windows 7, mas disse que a maioria dos usuários pode se proteger de ataques por meio de bloqueio de duas portas no firewall.

Em um boletim de segurança, a Microsoft disse que uma falha no Server Message Block (SMB), um protocolo feito pela empresa, pode ser usado por crackers para atacar máquinas com Windows 7 e Windows Server 2008 R2.

A vulnerabilidade foi divulgada pelo pesquisador canadense Laurent Gaffie na quarta-feira (11/11). De acordo com Gaffie, explorar a falha pode atingir os sistemas a ponto do único método de recuperação ser o desligamento manual do computador.

Inicialmente a Microsoft disse que investigaria o caso, mas na sexta-feira confirmou o problema. “A Microsoft está ciente de um código que pode ser explorado para prejudicar o funcionamento do sistema”, disse o representante do grupo de segurança da empresa Dave Forstrom. “A companhia não teme ataques que explorem a vulnerabilidade nesse momento.”

Forstrom, assim como Graffie, disse que o erro pode ser explorado para incapacitar um computador, mas a vulnerabilidade não permite a instalação de códigos maliciosos no Windows 7.

Tanto o SMBv1 quanto o SMBv2 contém o erro. “Windows Vista, Server 2008, XP, Server 2003 e 2000 não são afetados”, garante Forstrom.

Ataques podem ser voltados para qualquer navegador, não apenas o Internet Explorer, alertou a Microsoft. Depois de levar o usuário a acessar sites maliciosos, crackers podem travar o computador da vítima com pacotes SMB problemáticos.

A Microsoft deve lançar uma correção do problema, mas não disse se incluirá no pacote previsto para o dia 8 de dezembro ou se lançará uma correção isolada. A companhia sugere que usuários bloqueiem as portas TCP 139 e 445 no firewall. Porém, isso pode desabilitar navegadores, assim como causar outros problemas críticos.

Fonte: http://idgnow.uol.com.br/seguranca/2009/11/16/microsoft-confirma-existencia-da-primeira-vulnerabilidade-do-windows-7/

Objetivo

Esse artigo tem como objetivo demonstrar como fazer uma Análise de Vulnerabilidade em ambiente computacional de forma rápida e fácil.

O que é uma Análise de Vulnerabilidade?

Uma Análise de Vulnerabilidade é um processo de escaneamento executado em ambiente computacional, o qual tem como objetivo detectar as falhas existentes nos diversos componentes, como por exemplo, sistemas operacionais, aplicações, softwares , dentre outros. Esse processo ajuda na redução dos riscos em relação aos Incidentes de Segurança e na proteção contra ameaças internas e externas que possam explorar uma vulnerabilidade existente.

Deve-se fazer continuamente o processo de verificação de Análise de Vulnerabilidade para manter o ambiente computacional sempre atualizado e protegido.

A Análise de Vulnerabilidade pode ser executada local ou remota desde que exista conectividade entre o scanner e o dispositivo que está sendo analisado.

Benefícios da Análise de Vulnerabilidade

Os principais benefícios do processo da Análise de Vulnerabilidade são:

• Identificação das vulnerabilidades;
• Correção das vulnerabilidades reduzindo os riscos;
• Mapeamento pró-ativo das ameaças existentes;
• Redução no tempo de paradas;
• Economia de recursos e
• Maior controle sobre os potenciais riscos.

Instalando o Scanner de Vulnerabilidade

O próximo passo é escolher um scanner de vulnerabilidade. Em nosso artigo iremos utilizar o Nessus.

1 – Acesse o site http://www.nessus.org/download/ para fazer o download do Nessus. Conforme mostra a figura 1.1.

Figura 1.1

2 – No final da página selecione a versão do Nessus compatível com a versão do seu sistema operacional e em seguida clique no botão Download. Será carregada uma página conforme mostra a figura 1.2.

Figura 1.2

3 – Clique no botão I accept para continuar. Será carregada uma página conforme mostra a figura 1.3.

Figura 1.3

4 – Preencha o formulário e em seguida clique no botão Submit. Será carregada uma página conforme mostra a figura 1.4.

Figura 1.4

Nota

A versão do Nessus disponível para download é de uso não comercial. Se você pretende utilizar o Nessus para sua empresa ou prestar serviços é necessário adquirir uma licença ProfessionalFeed. Consulte o site abaixo para maiores detalhes:

http://www.nessus.org/products/professional-feed/

5 – Clique na versão corresponde ao seus sistema operacional para iniciar o download. Após o download ser concluído dê um duplo clique para iniciar a instalação. Será carregada uma janela conforme mostra a figura 1.5.

Figura 1.5

6 -Clique no botão Next para continuar. Será carregada uma janela conforme mostra a figura 1.6.

Figura 1.6

7 – Selecione a opção I accept the terms in the license agreement e em seguida clique no botão Next. Será carregada uma janela conforme mostra a figura 1.7.

Figura 1.7

8 – Clique no botão Next para continuar. Será carregada uma janela conforme mostra a figura 1.8.

Figura 1.8

9 – Selecione o tipo de instalação Complete ou Custom e em seguida clique no botão Next. Será carregada uma janela conforme mostra a figura 1.9.

Figura 1.9

10 – Clique no botão Install para continuar. Será carregada uma janela conforme mostra a figura 1.10.

Figura 1.10

11 – Clique no botão Finish para concluir a instalação.

Configurando o Nessus

1 – Clique em Start, All Programs, Tenable Network Security e selecione Nessus Server Manager. Será carregada uma janela conforme mostra a figura 1.11.

Figura 1.11

2 – No campo Activation code digite o seu código de ativação recebido por e-mail cadastrado no inicio desse artigo e em seguida clique no botão Register. Será carregada uma janela conforme mostra a figura 1.12.

Figura 1.12

3 – Aguarde até que o download dos plugins seja concluído e instalado. Será carregada uma janela conforme mostra a figura 1.13.

Figura 1.13

Executando o Nessus

1 – Clique em Start, All Programs, Tenable Network Security e selecione Nessus Client. Será carregada uma janela conforme mostra a figura 1.14.

Figura 1.14

2 – Na console do Nessus no painel à esquerda em Network(s) to scan clique no botão . Será carregada a caixa de diálogo conforme mostra a figura 1.15.

Figura 1.15

3 – No campo Host name digite o Nome ou o Endereço IP do servidor que será executado o Scan e em seguida clique no botão Save. A console do Nessus ficará semelhante à figura 1.16.

Figura 1.16

4 – Clique no botão Connect. Será carregada a caixa de diálogo conforme mostra a figura 1.17.

Figura 1.17

5 – Selecione a opção localhost e em seguida clique no botão Connect. Será carregada a caixa de diálogo conforme mostra a figura 1.18.

Figura 1.18

6 – Clique no botão Yes. A console do Nessus ficará semelhante à figura 1.19.

Figura 1.19

7 – Na console do Nessus no painel à direito em Select a scan policy clique no botão . Será carregada a caixa de diálogo conforme mostra a figura 1.20.

Figura 1.20

8 – No campo Policy name digite o nome da sua política e em seguida clique na guia Options. Será carregada a caixa de diálogo conforme mostra a figura 1.21.

Figura 1.21

9 – A guia Options permite você configurar os parâmetros globais relativo ao comportamento do Nessus e dos plugins executados sobre ele. Segue abaixo a descrição das opções disponíveis:

• Number of hosts in parallel – Define o número máximo de hosts que serão verificados simultaneamente.
• Number of checks in parallel – Define o número máximo de plugins que será executado em cada host simultaneamente.
• Port scanner range – Especifica quais portas seram escaneadas. Esta opção é útil para verificar as vulnerabilidades em portas específicas.
• Safe checks – Especifica que os dispositivos que tenham sido identificados a ser afectados pelo scaneamento não são verificados. Por exemplo, um scan de uma impressora pode resultar que a impressora seja reiniciada. Usando a opção Safe checks impedira que um dispositivo detectado como uma impressora seja escaneado.
• Designate hosts by their DNS name – Permite a habilidade de especificar uma lista de nomes DNS como na guia Scan em “Network(s) to scan“, em vez de um único endereço IP ou intervalos de endereços IP.
• Consider unscanned ports as closed – Quando a verificação de vulnerabilidades é realizada em portas específicas, esta opção diz ao Nessus, que todas as outras portas estão fechadas.
• Save knowledge base on disk – Esta opção diz ao Nessus para salvar as informações de scan em uma base de conhecimento do servidor Nessus para uso posterior.
• Log details of the scan on the server – Salva os detalhes da scan no servidor Nessus. O arquivo resultante pode ser verificado para confirmar que plugins particulares foram utilizados e os hosts foram scaneados.
• Port scanners to use - Esta seção de opções permite que você escolha o caminho que deseja consultar os seus alvos de scan com portas abertas.
• Nessus SNMP scanner – Esta opção irá varrer alvos procurando uma resposta SNMP.
• Nessus SYN Scanner – Esta opção faz o Nessus identificar as portas abertas sobre os alvos enviando um pacote SYN para as portas e aguardando uma resposta ACK, o qual determina o estado das portas com base em uma resposta, ou falta dela.
• Nessus TCP Scanner – Esta opção faz o Nessus identificar as portas TCP abertas sobre os alvos.
• Nessus UDP Scanner – Esta opção faz o Nessus identificar as portas UDP abertas sobre os alvos.
• Netstat portscanner(SSH) – Esta opção usa o netstat para verificar as portas abertas da máquina local. Baseia-se no comando netstat estar disponível através de uma conexão SSH para o destino. Este tipo de scan é destinado para sistemas baseados em Unix.
• Netstat portscanner(WMI) – Esta opção usa o netstat para verificar as portas abertas da máquina local. Baseia-se no comando netstat estar disponível através de uma conexão WMI para o alvo. Este tipo de scan é destinado para sistemas baseados no Windows.
• Ping the remote host – Esta opção permite o ping de hosts remotos em várias portas para determinar se eles estão ativos.

Faça as configurações desejadas e em seguida clique na guia Credentials. Será carregada a caixa de diálogo conforme mostra a figura 1.22.

Figura 1.22

10 -Na guia  Credentials entre com as credencias administrativas do dispositivo que será escaneado e em seguida clique na guia Plugin Selection. Será carregada a caixa de diálogo conforme mostra a figura 1.23.

Figura 1.23

11 – Na guia  Plugin Selection selecione os plugins que serão utilizados no scan e em seguida clique na guia Network. Será carregada a caixa de diálogo conforme mostra a figura 1.24.

Figura 1.24

12 – A guia Network é muito útil para ajudar nas definições para o máximo de resultados com o mínimo de interferência na rede. Faça as configurações desejadas em em seguida clique na guia Advanced. Será carregada a caixa de diálogo conforme mostra a figura 1.25.

Figura 1.25

13 – O guia Advanced inclui meios de controle granular sobre as definições do scan. Selecionando um item  a partir do menu drop-down irá exibir os itens de configuração adicional para a categoria selecionada. Clique no botão Save. Será carregada a caixa de diálogo conforme mostra a figura 1.26.

Figura 1.26

14 – Clique no botão Scan Now para inicar o scan. Após finalizar o scan será carregada a caixa de diálogo conforme mostra a figura 1.27.

Figura 1.27

Analisando o Resultado do Scan

O próximo passo é analisar as vulnerabilidades encontradas no resultado do scan. Conforme apresentado na figura 1.27 o servidor escaneado apresentou 9 vulnerabilidades High e 16 vulnerabilidades Low.

1 – No painel da esqueda clique em general/tcp. Observe que no inicio do relatório são apresentadas as vulnerabilidades e o seu grau de risco. Cada vulnerabilidade é apresentada com os detalhes técnicos como mostra a figura 1.28.

Figura 1.28

O relatório com as vulnerabilidades segue a seguinte estrutura:

1. Vulnerability: Nome atribuído a vulnerabilidade encontrada.
2. Description: A descrição da vulnerabilidade.
3. Solution: Solução apresentada para corrigir a vulnerabilidade.
4. Risk: O nível do risco da vulnerabilidade, onde os riscos poderão ser: Critical, High, Medium e Low.

Com as informações apresentadas no relatório acima, conhecimento no sistema afetado e conhecimento em segurança da informação é possível montar uma plano de ação para resolver as vulnerabilidades apresentadas. Repita os passos acima para analisar cada vulnerabilidade encontrada.

Luciano Lima
[MVP Enterprise Security]-[MCSA Security]-[MCSE Security]

www.guiamcse.com.br
www.guiamcse.com.br/forum (Novo)
www.guiamcitp.com.br
www.guiacissp.com.br
www.guiacissp.com.br/forum (Novo)