Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Maat: px

Weergave met pagina beginnen:

Download "Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities"

Heidi Vedder
8 jaren geleden
Aantal bezoeken:

1 De Nessus scan We hebben ervoor gekozen om de webserver met behulp van Nessus uitvoerig te testen. We hebben Nessus op de testserver laten draaien, maar deze server komt grotendeels overeen met de productieserver. Nessus We hebben de server gescanned met Nessus versie (HomeFeed). Dit ging niet zonder slag of stoot. Voordat je kunt beginnen met scannen, moet je eerst een Activation Code invullen. Deze wordt door Nessus via hun website gevalideerd. Maar omdat de server zo is ingericht dat je er niet op kunt internetten, kon Nessus de code zelf niet controleren. Via de help-pagina van Nessus zijn we erin geslaagd om een offline activation te bewerkstelligen. Nog steeds konden we de Nessus server niet starten, omdat Nessus eerst de meest up-to-date plugins wil downloaden. Wederom lukte dit niet, wegens beveiligingen op de server. Na ook de laatste plugins offline geïnstalleerd te hebben, konden we aan de slag. We hebben met verschillende policies gescanned om te kijken welke policy het beste bij onze server past. De laatste scan vond plaats op maandag 5 juli 2010, om 12:33. Server informatie De server draait op Microsoft Windows Server 2003, Standard Edition (Engelstalig). De NetBIOS naam is TYCHE. De server heeft geen DNS naam. Resultaten van de scan Open poorten High vulnerabilities Medium vulnerabilites Low vulnerabilities 93 Om het enigszins overzichtelijk te houden behandelen we enkel de High en Medium vulnerabilities.

Dit ging niet zonder slag of stoot. Voordat je kunt beginnen met scannen, moet je eerst een Activation Code invullen. Deze wordt door Nessus via hun website gevalideerd.

2 High vulnerabilites MS09-004: Vulnerability in Microsoft SQL Server Could Allow Remote Code Execution (959420) (uncredentialed check) 1433 / tcp Kwaadaardige code kan uitgevoerd worden op deze (remote) SQL server. Deze versie van Microsoft SQL Server is kwetsbaar voor een zogenoemde ʻauthenticated remote code execution vulnerabilityʼ in de MSSQL extended store procedure ʻsp_replwritetovarbinʼ door een invalide parameter check. technet/security/bulletin/ms mspx) is het lek gedicht. MS08-040: Microsoft SQL Server Multiple Privilege Escalation (941203) (uncredentialed check) 1433 / tcp De (remote) SQL server is vulnerable voor ʻmemory corruption flawsʼ. Deze versie van Microsoft SQL Server is kwetsbaar voor meerdere ʻmemory corruption issuesʼ. Deze kwetsbaarheden kan een ʻhackerʼ gebruiken om zijn eigen rechten binnen deze SQL server te verhogen. technet/security/bulletin/ms mspx) is het lek gedicht. MS08-040: Microsoft SQL Server Multiple Privilege Escalation (941203) (uncredentialed check) 1433 / tcp De (remote) SQL server is vulnerable voor ʻmemory corruption flawsʼ. Deze versie van Microsoft SQL Server is kwetsbaar voor meerdere ʻmemory corruption issuesʼ. Deze kwetsbaarheden kan een ʻhackerʼ gebruiken om zijn eigen rechten binnen deze SQL server te verhogen.

Deze versie van Microsoft SQL Server is kwetsbaar voor een zogenoemde ʻauthenticated remote code execution vulnerabilityʼ in de MSSQL extended store procedure ʻsp_replwritetovarbinʼ door een invalide

3 technet/security/bulletin/ms mspx) is het lek gedicht. MS09-003: Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution (959239) Kwaadaardige code kan uitgevoerd worden via deze server. Deze versie van Microsoft Exchange is kwetsbaar voor twee soort aanvallen: - Een ʻmemory corruption vulnerabilityʼ die kan lijden tot het uitvoeren van kwaadaardige code wanneer er een bewerkt TNEF bericht verwerkt wordt. - En ʻdenial of service vulnerabilityʼ wanneer er een bewerkt MAPI commando uitgevoerd wordt. Deze aanval kan leiden tot het stoppen van alle services die de EMSMDB32 provider gebruiken. technet/security/bulletin/ms mspx) zijn de lekken gedicht. Windows Help Center hcp:// Protocol Handler Arbitrary Code Execution ( ) Kwaadaardige code kan uitgevoerd worden door gebruik te maken van het Windows Help en Support Center. Wanneer een hacker een gebruiker kan strikken om een besmette website te bezoeken die begint met ʻhcp://ʼ in de URL, kan de hacker kwaadaardige code uitvoeren, afhankelijk van de rechten van de gebruiker. Dit komt omdat Windows Help en Support Center URLʼs niet op geldigheid controleert. Omdat hier nog geen patch voor is, is een tijdelijke oplossing het uitzetten van het HCP protocol. Een nadeel hiervan is wel dat er geen enkele ʻhcp://ʼ website bezocht kan worden.

Deze versie van Microsoft Exchange is kwetsbaar voor twee soort aanvallen: - Een ʻmemory corruption vulnerabilityʼ die kan lijden tot het uitvoeren van kwaadaardige code wanneer er een bewerkt TNEF

4 Adobe Reader < Multiple Vulnerabilities Er kunnen op veel manieren kwaadaardige code uitgevoerd worden. Omdat er een oude versie (< 7.1.0) van Adobe Reader geïnstalleerd is, kunnen er op veel manieren kwaadaardige code uitgevoerd worden. Een oplossing is erg simpel; namelijk upgraden naar de meest recente versie van Adobe Reader.

5 Medium vulnerabilities Microsoft Windows Remote Desktop Protocol Server Man in the Middle Weakness 3389 / tcp Het kan mogelijk zijn om van buitenaf toegang tot de server te krijgen. De Remote Desktop Protocol (RDP) Server (Terminal Service) is kwetsbaar voor een ʻMan in the middle aanvalʼ (MiTM). De RDP client controleert de identiteit van de server niet, wanneer de encryptie op wordt gezet. Wanneer een hacker data van de RDP server kan onderscheppen kan deze een encryptie opzetten tussen de client en de server zonder op te vallen. Door een dergelijke MiTM aanval kan de hacker gevoelige gegevens onderscheppen, inclusief bijvoorbeeld authenticatie credentials. Deze bug ontstaat doordat de RDP server een ʻhardcodedʼ RSA private key opslaat in de mstlsapi.dll bibliotheek. Iedere lokale gebruiker met rechten om dit bestand te openen, kan zodoende deze sleutel opzoeken en gebruiken voor de MiTM aanval. Door SSL te gebruiken als transport laag voorkom je dat deze aanval plaats kan vinden. MS10-024: Vulnerabilities in Microsoft Exchange and Windows SMTP Service Could Allow Denial of Service (981832) Deze mailserver kan kwetsbaar zijn voor verschillende bedreigingen.

De RDP client controleert de identiteit van de server niet, wanneer de encryptie op wordt gezet.

6 Deze versie van Microsoft Exchange / Windows SMTP Service is tenminste kwetsbaar voor een van de volgende kwetsbaarheden: - Foutieve afhandeling van de DNS Mail Exchanger (MX) bronrecords kan leiden dat het SMTP protocol stopt met functioneren, totdat de service opnieuw wordt opgestart. - Ongeldige allocatie van het geheugen voor het interpreteren van SMPT commandoʼs kan een hacker toegang geven tot het lezen van willekeurige stukken van s. - Voorspelbare transactie IDʼs worden gebruikt om een zogenoemde MiTM aanval toegang te geven om DNS antwoorden af te luisteren. - Er wordt niet gecontroleerd of een transactie ID van een antwoord overeen komt met het transactie ID van een vraag. Ook dit kan zorgen dat een MiTM aanval toegang krijgt tot het afluisteren van DNS antwoorden. technet/security/bulletin/ms mspx) zijn de lekken gedicht. MS08-039: Vulnerabilities in Outlook Web Access for Exchange Server Could Allow Elevation of Privilege (953747) Deze webserver is kwetsbaar voor zogenoemde cross-site scripting (XSS) lekken Er draait een Outlook Web Access (OWA) versie voor de Exchange Server die kwetsbaar is voor verschillende XSS lekken in de HTML parser en Data validation code. Deze kwetsbaarheden zorgen ervoor dat een hacker zijn eigen rechter kan verhogen, wanneer een gebruiker een besmette opent. Microsoft heeft hiervoor verschillende patches voor OWA 2003 en 2007 uitgebracht. Na het installeren van deze patches ( MS mspx) zijn de lekken gedicht.

- Ongeldige allocatie van het geheugen voor het interpreteren van SMPT commandoʼs kan een hacker toegang geven tot het lezen van willekeurige stukken van emails.

7 Conclusie Over het algemeen is de server goed beveiligd. Een hacker kan in ieder geval niet zomaar binnendringen. De meeste kwetsbaarheden zitten in het draaien van verouderde/ ongepatchte software. Dit is dus zeer makkelijk te verhelpen. Door bijvoorbeeld de nieuwste versie van Adobe Reader te installeren, worden al 11 van de 15 high-risk kwetsbaarheden onschadelijk gemaakt. Door het patchen van andere services worden 3 van de overige 4 kwetsbaarheden onschadelijk gemaakt. De laatste high-risk kwetsbaarheid zit in het Windows Help Center. Hiervoor is nog geen patch uitgebracht. Enkel door die service uit te schakelen is het probleem definitief verholpen. Van de medium-risk kwetsbaarheden zijn 2 van de 3 ook op te lossen met behulp van Windows patches. De laatste medium risk kwetsbaarheid is op te lossen door gebruik te maken van SSL als transport laag.

Door het patchen van andere services worden 3 van de overige 4 kwetsbaarheden onschadelijk gemaakt. De laatste high-risk kwetsbaarheid zit in het Windows Help Center.

Vergelijkbare documenten

SuperOffice Systeemvereisten

SuperOffice Systeemvereisten Minimale systeemvereisten voor SuperOffice CRM De minimale systeemvereisten voor SuperOffice CRM zijn tevens afhankelijk van het besturingssysteem en de services/applicaties die op het systeem actief zijn.