- notageek.it di Mirko Iodice - http://www.notageek.it -

Proteggere la rete Windows dalle vulnerabilità password – Windows password hacking tools for Penetration Testing

In questo articolo illustrerò come portare a compimento semplici attività di controllo di una rete Microsoft in merito alla presenza di password blank (in bianco) o guessable (indovinabili) assegnate ad utenti del sistema o dei principali servizi presenti nella rete. Secondo me è importantissimo effettuare con costanza questo tipo di controlli e consiglio vivamente a tutti gli amministratori di rete di affrontare l'argomento, potreste rimanere particolarmente sorpresi dai risultati.

Premessa

Se siete gli amministratori di una rete Microsoft, grande o piccola che sia, considerato l'enorme incremento subito negli ultimi anni dal numero delle vulnerabilità scoperte e rese pubbliche, dovreste iniziare a preoccuparvi seriamente delle problematiche legate alla sicurezza dei computer (client e server) che ne fanno parte. Le possibili vulnerabilità del software al giorno d'oggi sono tantissime e di diversa natura, la loro classificazione viene costantemente aggiornata dagli esperti del settore e, per chi esperto non lo è, diventa sempre più difficile riuscire a capire quanto una rete sia sensibile ad attacchi di vario genere, siano essi portati a compimento da utenti interni alla rete oppure da malware di ogni sorta (worms, spyware, rootkits, ecc...). A mio avviso è importante non dimenticare mai che esistono però alcune vulnerabilità ben conosciute (well-known-vulnerabilities) che normalmente vengono testate e sfruttate da sempre in qualsiasi tipo di attacco, questo anche grazie alla loro sorprendente semplicità. Basta seguire un po' più da vicino il fenomeno malware per rendersi conto che forse le vulnerabilità più utilizzate da essi per replicarsi sui computer di una rete riguardano le "password deboli"; quasi tutti i malware infatti sono in grado di propagare l'infezione sfruttado molteplici tipologie di vulnerabilità e, tra queste, il controllo delle password assegnate agli account amministrativi non manca praticamente mai. Se i malware, al fine di portare a compimento attacchi "di massa", prestano parte della loro attenzione alle password deboli, significa che questo tipo di vulnerabilità può essere sicuramente sfruttata anche da utenti maleintenzionati al fine di portare a compimento attacchi mirati verso una rete aziendale, meglio ancora: ai dati che transitano in essa.

Password "classiche" di una rete Microsoft

Vediamo di elencare brevemente quali sono le password che normalmente ci troviamo a configurare in una classica rete composta da servizi Microsoft:

"La" vulnerabilità password per eccellenza

Vi ho appena elencato le tipologie di password che normalmente si configurano quando si amministra una rete Microsoft, è chiaro che ognuna di esse, se sottovalutata, può costituire una possibile vulnerabilità. Esiste però un punto debole che nella mia esperienza ho riscontrato maggiormente rispetto agli altri, ovvero l'esistenza di password blank (in bianco) assegnate a quegli account amministrativi definiti "locali" ai computer client della rete.

Non vi capita mai di acquistare forniture di pc preinstallati direttamente dal produttore? Normalmente, quando acquistiamo un pc preinstallato, veniamo costretti dal produttore a terminare una procedura post-installazione nella quale ci vengono richieste una serie di informazioni necessarie alla personalizzazione della macchina (come il nome computer e la descrizione computer) ed altre che riguardano strettamente gli utenti che la utilizzeranno. Se avete presente di cosa stia parlando saprete sicuramente che nessuno degli utenti creati durante la post-installazione viene dotato automaticamente di una password e che ognuno di essi possiede inoltre diritti amministrativi sul computer in questione. Va fatto notare anche che le procedure post-installazione più datate non permettevano nemmeno di specificare una password per l'account amministrativo locale "Administrator", la cui esistenza passa nettamente in secondo piano, basti pensare al fatto che non viene nemmeno elencato nella schermata di login su Windows XP.

Il problema vero e proprio è questo: questa "imbarazzante" e caotica procedura di installazione spesso aiuta soltanto a lasciarsi alle spalle qualche computer dotato di utenti con password in bianco e, all'interno di una struttura di dominio windows, l'esistenza degli account locali va normalmente a finire nel dimenticatoio.

Strumenti per la scansione

Strumenti per lo sfruttamento delle vulnerabilità

Per poter dimostrare quanto possa essere pericolosa la presenza di password deboli all'interno della nostra rete credo sia necessario dare uno sguardo anche agli strumenti che permettono di sfruttarle.

Non è assolutamente mia intenzione rendere questo articolo un tutorial passo-passo su come compromettere macchine Windows dotate di password deboli, questo è il motivo per il quale ho deciso di presentarvi soltanto due degli strumenti più conosciuti ed utilizzati in questo campo. Credo che in ogni caso non sia difficile immaginare cosa si possa fare all'interno di una rete informatica possedendo anche soltanto un nome utente ed una password validi, con questo voglio soltanto ribadire l'enorme importanza che ha prestare particolare attenzione a questo tipo di vulnerabilità.

Altri strumenti

Per completezza riporto qui sotto una breve descrizione di altri due famosissimi strumenti direttamente collegati all'argomento che stiamo affrontando.

In merito al bruteforcing di account di dominio windows mi sento in dovere di avvisarvi che se effettuate scansioni di account utente soggetti a politica di blocco dell'account, dopo un certo numero di tentativi errati di immissione password, rischiate di causare il blocco di tutti gli account utente della directory; fate percui molta attenzione se decidete di attaccare tramite wordlist più di un account utente alla volta.

Contromisure

Combattere questo tipo di attacchi non è molto difficile ed ha un costo amministrativo piuttosto basso. Inanzitutto si dovrebbero a mio avviso stabilire e formalizzare alcune politiche aziendali in merito alle password che devono essere rispettate da chiunque installi i nuovi computer.

La seconda importante attività riguarda mettere in pratica quanto imparato in questo articolo non dimenticando che esistono alcuni script WSH che possono facilitare enormemente questo tipo di controlli quando vi trovate ad aver a che fare con un gran numero di computer client, leggete le conclusioni per trovarne i collegamenti.

Eventualmente potreste scegliere di attivare delle politiche di blocco degli account [34], Active Directory vi permette di farlo a livello di dominio ma con lo strumento gpedit.msc potete scegliere di attivarle anche sui clients Windows XP.

Conclusioni

Avere una profonda conoscenza della propria rete e dei sistemi che operano in essa è importantissimo ai fini della sicurezza, quanto mostrato in questo articolo costituisce a mio avviso un ottimo punto di partenza.
Una volta identificate le vulnerabilità all'interno della rete vorrete sicuramente tracciarne l'entità e sapere come sistemarle senza dover agire manualmente su ciascun computer, per questo motivo vi consiglio la lettura di questi due tutorial:

Autore

Mirko Iodice
mirko -at- notageek (.dot) it