Chúng
ta thường nghe về lỗ hổng trong phần mềm khách hàng, chẳng hạn như các
trình duyệt web và các ứng dụng email, có thể bị khai thác bởi nội dung
độc hại.
Những câu chuyện lặp đi lặp lại về botnet, các trang web bị nhiễm malaware,
và virus xâm nhiễm chúng với các tài liệu độc hại, phim ảnh, và các nội
dung khác đã ăn sâu các khái niệm về một khách hàng có thể khai thác
trong tâm trí của chúng tôi.
Thật không may, phần mềm khách hàng cũng có thể được nhắm mục tiêu với
các cuộc tấn công từ các máy chủ bị tổn hại truy cập của khách hàng, và
một số phần mềm máy khách thực sự lắng nghe cho các kết nối.
Trong blog này, chúng tôi sẽ thảo luận về phần mềm khách hàng kiểm toán
cho các lỗ hổng và mô tả ba loại khác nhau của khai thác phía khách
hàng và làm thế nào họ có thể ảnh hưởng đến nguy cơ mạng của bạn.
Để hiểu được các cuộc tấn công phía khách hàng, chúng ta hãy mô tả ngắn gọn các cuộc tấn công phía máy chủ mà chúng ta có thể đối chiếu với các cuộc tấn công phía khách hàng. Máy chủ thực hiện các dịch vụ mà khách hàng có thể tương tác. Những dịch vụ này có thể truy cập cho khách hàng mà muốn sử dụng các dịch vụ này. Là một máy chủ cho thấy dịch vụ, nó cho thấy nhiều lỗ hổng tiềm năng có thể bị tấn công. Chỉ chạy một máy chủ đặt mình vào nguy cơ, bởi vì một hacker có thể bắt đầu một cuộc tấn công vào máy chủ tại bất cứ lúc nào. Ví dụ, một kẻ tấn công có thể gửi một yêu cầu HTTP cố crafted để một máy chủ web dễ bị tổn thương và cố gắng tận dụng lỗi hoặc hành vi ứng dụng bất ngờ khác.
các cuộc tấn công phía khách hàng là khá khác nhau. Đây là những cuộc tấn công nhằm vào lỗ hổng trong các ứng dụng của khách hàng tương tác với một máy chủ độc hại hoặc xử lý dữ liệu độc hại. Tại đây, khách hàng đưa ra sự kết nối đó có thể dẫn đến một cuộc tấn công. Nếu một khách hàng không tương tác với một máy chủ, nó không phải là nguy cơ, bởi vì nó không xử lý bất kỳ dữ liệu có khả năng gây hại được gửi từ máy chủ. Chỉ chạy một client FTP mà không cần kết nối đến một máy chủ FTP, ví dụ, sẽ không cho phép cho một cuộc tấn công phía khách hàng tận nơi. Tuy nhiên, chỉ cần khởi động một ứng dụng ứng dụng nhắn tin tức thời có khả năng cho thấy nhiều khách hàng để tấn công như vậy, bởi vì khách hàng thường được cấu hình để tự động đăng nhập vào một máy chủ từ xa.
Một ví dụ điển hình của một cuộc tấn công phía khách hàng là một trang web độc hại nhắm mục tiêu một lỗ hổng trình duyệt cụ thể rằng, nếu các cuộc tấn công thành công, sẽ cung cấp cho các máy chủ độc hại hoàn toàn kiểm soát của hệ thống khách hàng. các cuộc tấn công phía khách hàng không giới hạn để thiết lập web, nhưng có thể xảy ra trên bất kỳ cặp client / server, ví dụ như e-mail, FTP, tin nhắn nhanh tức thời, đa phương tiện trực tuyến, vv tấn công phía khách hàng hiện đang đại diện cho một vector tấn công dễ dàng vì hầu hết sự chú ý trong công nghệ bảo vệ đã được tập trung vào việc bảo vệ các máy chủ tiếp xúc từ những kẻ tấn công từ xa. Khách hàng chỉ được bảo vệ trong môi trường truy cập từ khách hàng nội bộ đến các máy chủ trên Internet bị hạn chế thông qua phòng thủ truyền thống như tường lửa hoặc proxy. Tuy nhiên, một bức tường lửa, trừ khi kết hợp với các công nghệ khác như IPS, chỉ hạn chế lưu lượng mạng; khi lưu lượng được cho phép, một khách hàng tương tác với một máy chủ có nguy cơ. giải pháp lọc máy chủ doanh nghiệp tiên tiến hơn là có sẵn, nhưng thông thường những chỉ bảo vệ thiết lập giới hạn của công nghệ cho khách hàng.
Traditional Client-side Exploits
Hiện đã có rất nhiều các khai thác lỗ hổng từ phía khách hàng được sử dụng để tạo ra botnet . Những khai thác nhắm mục tiêu các trình duyệt, plugin trình duyệt, và email khách hàng chúng sử dụng hình thức tấn công giả mạo hoặc phising để dẫn dụ người dùng cung cấp thông tin cho chúng
Clients with Exposed Services
Nhiều loại phần mềm khách hàng sẽ thực sự mở ra một kết nối và chạy một dịch vụ cho phép giao tiếp trên mạng. Từ góc nhìn của một người thử thâm nhập hoặc một vulnerability scanner, nó thực sự không thực hiện bất kỳ sự khác biệt nếu một phần của phần mềm hoạt động như một khách hàng cho một người sử dụng hoặc nếu nó là tập trung vào phục vụ dữ liệu. Nếu nó có một kết nối mở trên mạng và các kết nối có thể được thực hiện cho nó, nó có thể được khai thác. Nếu máy chủ được kết nối trực tiếp với Internet hoặc mạng băng thông rộng di động và nó không có một bức tường lửa, nó có thể bị tấn công trực tiếp mà không cần thêm bất cứ sự tương tác người dùng như mở một email.
Clients Exposed to Hostile Servers
Đây là loại khách hàng khai thác có thể có vẻ rất giống với loại đầu tiên của tôi đã nếu trên, nhưng sự khác biệt là máy chủ không được lưu trữ lưu trữ dữ liệu không thân thiện - máy chủ chính nó có thể được điều khiển để tấn công một khách hàng trực tiếp.
Một ví dụ cổ điển là CVE-2005-0467 , trong đó xác định các lỗ hổng trong PuTTY clients SSH và SCP có thể bị khai thác bởi một máy chủ SSH độc hại để thực thi mã trên kết nối máy chủ
Lỗ hổng như thế này có thể được sử dụng để nhảy qua tường lửa một cách trực tiếp nhiều hơn bằng cách cố gắng để thỏa hiệp hệ thống của người quản trị với một số loại kỹ thuật social dựa trên Internet để khai thác.
Ví dụ, giả sử bạn có một máy chủ trong một DMZ có thể bị tổn hại từ Internet hoặc mạng nội bộ, nhưng tất cả hành hệ thống này được thực hiện thông qua một tường lửa một chiều. Nếu truy cập quản trị các hệ thống DMZ được phép từ một mạng nội bộ và có phần mềm khách hàng dễ bị tổn thương trong sử dụng, một máy chủ DMZ dưới sự kiểm soát của một kẻ tấn công có thể thay đổi dịch vụ để tiến hành các cuộc tấn công chống lại các máy khách.
một số CVE dạng này là
Code execution in FTP clients:
21565 FileZilla FTP Client Unspecified Overflow
Code execution in SSH clients:
37021 FreeBSD : putty -- buffer overflow vulnerability in ssh2 support (19518d22-2d05-11d9-8943-0050fc56d258)
Code execution in SNMP clients:38099 USN-685-1 : net-snmp vulnerabilities
Code execution in web clients:
49102 USN-982-1 : wget vulnerability
45133 Firefox < 3.6.2 Multiple Vulnerabilities
51162 MS10-090: Cumulative Security Update for Internet Explorer (2416400)
Bạn có thể đọc qua bài
Client Side Penetration Testing
Để hiểu được các cuộc tấn công phía khách hàng, chúng ta hãy mô tả ngắn gọn các cuộc tấn công phía máy chủ mà chúng ta có thể đối chiếu với các cuộc tấn công phía khách hàng. Máy chủ thực hiện các dịch vụ mà khách hàng có thể tương tác. Những dịch vụ này có thể truy cập cho khách hàng mà muốn sử dụng các dịch vụ này. Là một máy chủ cho thấy dịch vụ, nó cho thấy nhiều lỗ hổng tiềm năng có thể bị tấn công. Chỉ chạy một máy chủ đặt mình vào nguy cơ, bởi vì một hacker có thể bắt đầu một cuộc tấn công vào máy chủ tại bất cứ lúc nào. Ví dụ, một kẻ tấn công có thể gửi một yêu cầu HTTP cố crafted để một máy chủ web dễ bị tổn thương và cố gắng tận dụng lỗi hoặc hành vi ứng dụng bất ngờ khác.
các cuộc tấn công phía khách hàng là khá khác nhau. Đây là những cuộc tấn công nhằm vào lỗ hổng trong các ứng dụng của khách hàng tương tác với một máy chủ độc hại hoặc xử lý dữ liệu độc hại. Tại đây, khách hàng đưa ra sự kết nối đó có thể dẫn đến một cuộc tấn công. Nếu một khách hàng không tương tác với một máy chủ, nó không phải là nguy cơ, bởi vì nó không xử lý bất kỳ dữ liệu có khả năng gây hại được gửi từ máy chủ. Chỉ chạy một client FTP mà không cần kết nối đến một máy chủ FTP, ví dụ, sẽ không cho phép cho một cuộc tấn công phía khách hàng tận nơi. Tuy nhiên, chỉ cần khởi động một ứng dụng ứng dụng nhắn tin tức thời có khả năng cho thấy nhiều khách hàng để tấn công như vậy, bởi vì khách hàng thường được cấu hình để tự động đăng nhập vào một máy chủ từ xa.
Một ví dụ điển hình của một cuộc tấn công phía khách hàng là một trang web độc hại nhắm mục tiêu một lỗ hổng trình duyệt cụ thể rằng, nếu các cuộc tấn công thành công, sẽ cung cấp cho các máy chủ độc hại hoàn toàn kiểm soát của hệ thống khách hàng. các cuộc tấn công phía khách hàng không giới hạn để thiết lập web, nhưng có thể xảy ra trên bất kỳ cặp client / server, ví dụ như e-mail, FTP, tin nhắn nhanh tức thời, đa phương tiện trực tuyến, vv tấn công phía khách hàng hiện đang đại diện cho một vector tấn công dễ dàng vì hầu hết sự chú ý trong công nghệ bảo vệ đã được tập trung vào việc bảo vệ các máy chủ tiếp xúc từ những kẻ tấn công từ xa. Khách hàng chỉ được bảo vệ trong môi trường truy cập từ khách hàng nội bộ đến các máy chủ trên Internet bị hạn chế thông qua phòng thủ truyền thống như tường lửa hoặc proxy. Tuy nhiên, một bức tường lửa, trừ khi kết hợp với các công nghệ khác như IPS, chỉ hạn chế lưu lượng mạng; khi lưu lượng được cho phép, một khách hàng tương tác với một máy chủ có nguy cơ. giải pháp lọc máy chủ doanh nghiệp tiên tiến hơn là có sẵn, nhưng thông thường những chỉ bảo vệ thiết lập giới hạn của công nghệ cho khách hàng.
Client honeypot
Honeypot máy chủ truyền thống bị tấn công bởi một hackermũ đen
Traditional Client-side Exploits
Hiện đã có rất nhiều các khai thác lỗ hổng từ phía khách hàng được sử dụng để tạo ra botnet . Những khai thác nhắm mục tiêu các trình duyệt, plugin trình duyệt, và email khách hàng chúng sử dụng hình thức tấn công giả mạo hoặc phising để dẫn dụ người dùng cung cấp thông tin cho chúng
Clients with Exposed Services
Nhiều loại phần mềm khách hàng sẽ thực sự mở ra một kết nối và chạy một dịch vụ cho phép giao tiếp trên mạng. Từ góc nhìn của một người thử thâm nhập hoặc một vulnerability scanner, nó thực sự không thực hiện bất kỳ sự khác biệt nếu một phần của phần mềm hoạt động như một khách hàng cho một người sử dụng hoặc nếu nó là tập trung vào phục vụ dữ liệu. Nếu nó có một kết nối mở trên mạng và các kết nối có thể được thực hiện cho nó, nó có thể được khai thác. Nếu máy chủ được kết nối trực tiếp với Internet hoặc mạng băng thông rộng di động và nó không có một bức tường lửa, nó có thể bị tấn công trực tiếp mà không cần thêm bất cứ sự tương tác người dùng như mở một email.
Clients Exposed to Hostile Servers
Đây là loại khách hàng khai thác có thể có vẻ rất giống với loại đầu tiên của tôi đã nếu trên, nhưng sự khác biệt là máy chủ không được lưu trữ lưu trữ dữ liệu không thân thiện - máy chủ chính nó có thể được điều khiển để tấn công một khách hàng trực tiếp.
Một ví dụ cổ điển là CVE-2005-0467 , trong đó xác định các lỗ hổng trong PuTTY clients SSH và SCP có thể bị khai thác bởi một máy chủ SSH độc hại để thực thi mã trên kết nối máy chủ
Lỗ hổng như thế này có thể được sử dụng để nhảy qua tường lửa một cách trực tiếp nhiều hơn bằng cách cố gắng để thỏa hiệp hệ thống của người quản trị với một số loại kỹ thuật social dựa trên Internet để khai thác.
Ví dụ, giả sử bạn có một máy chủ trong một DMZ có thể bị tổn hại từ Internet hoặc mạng nội bộ, nhưng tất cả hành hệ thống này được thực hiện thông qua một tường lửa một chiều. Nếu truy cập quản trị các hệ thống DMZ được phép từ một mạng nội bộ và có phần mềm khách hàng dễ bị tổn thương trong sử dụng, một máy chủ DMZ dưới sự kiểm soát của một kẻ tấn công có thể thay đổi dịch vụ để tiến hành các cuộc tấn công chống lại các máy khách.
một số CVE dạng này là
Code execution in FTP clients:
21565 FileZilla FTP Client Unspecified Overflow
Code execution in SSH clients:
37021 FreeBSD : putty -- buffer overflow vulnerability in ssh2 support (19518d22-2d05-11d9-8943-0050fc56d258)
Code execution in SNMP clients:38099 USN-685-1 : net-snmp vulnerabilities
Code execution in web clients:
49102 USN-982-1 : wget vulnerability
45133 Firefox < 3.6.2 Multiple Vulnerabilities
51162 MS10-090: Cumulative Security Update for Internet Explorer (2416400)
Bạn có thể đọc qua bài
Client Side Penetration Testing
0 nhận xét:
Post a Comment