Trao đổi với tôi

www.hdphim.info

11/24/09

[MCSA] MCSA - Part 30 - Hacking - Windows Server Update Service - WSUS

Thông thường khi cài đặt thành công một Windows chúng ta thường tắt chế độ Auto Updates của Windows và cũng chẳng quan tâm mấy đến các bản Hotfix cũng như Service Pack mới mà Microsoft phát hành. Mọi chuyện sẽ không có gì đáng nói nếu hệ thống chúng ta là máy cá nhân và không có dữ liệu gì quan trọng.

Tuy nhiên nếu là một máy thuộc một hệ thống công ty nào đó mà vấn đề bảo mật được đặt ra thì những cách làm cực đoan như trên tiềm tàng những nguy cơ bị tấn công rất cao. Trong ví dụ dưới đây tôi sẽ chứng minh cho bạn thấy một hệ thống máy chủ Windows Server 2003 tưởng chừng như bảo mật cao nhưng do không chịu cập nhật các bản Service Pack cũng như Hotfix sẽ dễ dàng bị đánh sập bất cứ lúc nào. Trong hình máy chủ chạy Win2K3 Enterprise chưa Upgrade to Service Pack 2

gccom_2008_12_16_205201_gf

Mặc định tại máy chủ này chỉ có một User Administrator duy nhất được Enable mà thôi, công việc của tôi là ngồi tại bất cứ nơi đâu trên mạng và biết được IP Public của hệ thống mạng này qua đó sẽ tạo một user mới với quyền hạn ngang bằng với User Administrator

Việc tìm kiếm IP của một máy tính trên Net là không khó hơn nữa nó là hệ thống máy chủ việc này càng dễ dàng hơn vì trong thực tế nó có thể quản lý một vài domain nào đó và chỉ cần một vài thủ thuật như ping địa chỉ domain đó thôi sẽ có ngay IP máy Server. Tuy nhiên trong bài này tôi không đi sâu vào vấn đề tìm kiếm IP của nó mà giả sử tôi đã tìm thấy IP của nó là 192.168.1.100 chẳng hạn và tôi sẽ ngồi từ một máy khác để tạo user

gccom_2008_12_16_210105_gf

Tất nhiên để làm được điều này tôi phải có một công cụ chuyên hack nào đó mà trong bài này tôi sẽ sử dụng là Metasploit Framework v2.7. Bây giờ tôi ngồi tại máy bất kỳ có IP là 172.16.1.3 chẳng hạn và cài đặt Metasploit Framework v2.7

gccom_2008_12_16_212901_gf

Chạy công cụ Metasploit Framework Web Console

gccom_2008_12_16_213012_gf

Tìm đến dòng Microsoft RPC DCOM MSO3-026 nhấp chọn nó

gccom_2008_12_16_215535_gf

Chọn tiếp link Windows NT SP3-6a/2K/XP/2K3 English ALL (default)

gccom_2008_12_16_215619_gf

Trong màn hình tiếp theo có rất nhiều công cụ nhưng tôi chỉ chú tâm đến link đầu tiên là win32_adduser mà thôi click chọn nó

gccom_2008_12_16_215649_gf

Tại ô ADDR tôi nhập IP của máy sẽ bị tấn công vào

Các ô còn lại giữ giá trị mặc định và nhập User/Password mà bạn muốn tạo lên máy này tại các ô PASS/USER. Trong ví dụ này tôi sẽ tạo một user mang tên gccom và pass là 123456

Tiếp tục nhấp chọn Exploit

gccom_2008_12_16_215724_gf

Màn hình làm việc bắt đầu

gccom_2008_12_16_215744_gf

Bây giờ tại máy Server 2K3 ta thấy tự xuất hiện thêm Account gccom với quyền hạn ngang bằng với User Administrator

gccom_2008_12_16_220051_gf

Và đây là màn hình tôi tạo user với Metasploit Framework v3.0.

gccom_2008_12_16_221439_gf

Đến đây bạn đã thấy mức độ nguy hiểm thực sự khi ta không chú trọng đến việc Upgrade hệ thống cũng như cập nhật kịp thời các bản vá lỗi.

Vì vậy với những bản vá lỗi mới phát hành ngay lập tức người quản trị mạng phải cập nhật cho tất cả các máy trong toàn hệ thống. Việc làm này sẽ không có gì đáng nói nếu hệ thống mạng chúng ta có chừng vài máy tính.

Nhưng với những hệ thống mạng đến vài trăm thậm chí vài ngàn máy thì việc làm này là chuyện nan giải. Chính vì thế Windows đã cung cấp cho ta công cụ Windows Server Update Service (WSUS) mà qua đó ta chỉ cần cấu hình cho máy Server sẽ tự động cập nhật các bản vá lỗi mới và lưu trữ lại để các máy Client tự động dò tìm thấy và Update cho chính mình.

Việc cài WSUS phải qua các bước sau:

- Cài ASP.Net

Giống như cài IIS nhưng trong bản Application Server bạn check thêm mục ASP.Net

gccom_2008_12_12_235123_gf

- Cài Microsoft .Net Framework bản mới nhất

gccom_2008_12_12_235931_gf

- Cài MMC

gccom_2008_12_13_000821_gf

- Cài Microsoft Report Viewer

gccom_2008_12_13_000929_gf

- Cài Windows Server Update Service (WSUS)

gccom_2008_12_16_231619_gf

Màn hình Installtion Mode Selection bạn chọn lựa chọn đầu tiên

gccom_2008_12_16_231637_gf

Mặc định WSUS sẽ được cài đặt mặc định vào ổ đĩa C:\WSUS tuy nhiên do quá trình cập nhật các bản nên Data trong thư mục này có thể lên đến hàng Gb nên trên thực tế ta nên lưu nó tại ỗ đĩa nào khác ví dụ như ổ D:\ chẳng hạn

gccom_2008_12_16_231954_gf

Màn hình Data Options chũng chọn ổ đĩa D:\WSUS

gccom_2008_12_16_232009_gf

Tại màn hình Website Selection bạn chọn lựa chọn thứ 1 trong Website preference

gccom_2008_12_16_232101_gf

Quá trình cài đặt WSUS bắt đầu

gccom_2008_12_16_232122_gf

Sau khi cài đặt xong màn hình Config Winzard hiện ra chọn Next

gccom_2008_12_16_232435_gf

Giữ nguyên mặc định tại cửa sổ Join the Microsoft Update Improvement Program chọn Next

gccom_2008_12_16_232632_gf

Tại màn hình Choose Upstream Server chọn Snychronize from Microsoft Update để máy WSUS Server có thể tự tìm kiếm những bản vá mới từ Microsoft

gccom_2008_12_16_232702_gf

Tiếp theo tại Connect to Upstream Server bạn nhấp vào nút Start Connecting để kết nối đến Microsoft

gccom_2008_12_16_232751_gf

Màn hình Choose Languages bạn chọn ngôn ngữ mà mình sử dụng

gccom_2008_12_16_232831_gf

Cửa sổ Choose Products cho phép bạn tùy chọn những bản vá nào sẽ được tải về, trong bài tôi chỉ chọn Windows XP như vậy với những bản vá mới cho hệ thống Windows XP sẽ được WSUS Server tự động tải về

gccom_2008_12_16_232924_gf

Tiếp theo tại cửa sổ Choose Classifications bạn chọn những tính năng riêng cho các bản cập nhật sẽ tải về. Trong bài tôi chỉ chọn 3 mục trong đó có mục Sercurity Updates nên với các bản vá mới cho hệ thống Windows XP nhưng có tính chất nguy hiểm về hệ thống sẽ được WSUS chọn lọc tải về

gccom_2008_12_16_232948_gf

Màn hình Set Sync Schedule cho phép ta tùy chọn ngày giờ nào mà Server rãnh rỗi nhất sẽ tự động lên Microsoft dò tìm các bản vá lỗi mới mà tải về

gccom_2008_12_16_233102_gf

Sau khi quá trình hoàn tất bạn sẽ thấy tại WSUS Server hệ thống sẽ tự tạo thêm các thư mục tương ứng các thư mục này sẽ chứa các file vá lỗi mà từ đó các máy Client tự dò tìm thấy và cài đặt cho mình.

gccom_2008_12_16_233508_gf

Đến đây ta cơ bản đã cấu hình xong WSUS Server phần còn lại là tại các máy Client ta cấu hình Policy chúng sao cho đồng bộ với WSUS Server để từ đó tự tìm kiếm bản vá lỗi mới cho mình.

Tại máy Client bạn vào Group Policy chọn Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update

Bạn chú ý 2 PolicyConfiure Automatic Updates & Specify intranet Microsoft Update service location

gccom_2008_12_16_233937_gf

Confiure Automatic Updates

Bạn Enable nó lên và chọn lựa chọn thứ 4 Auto download and schedule the install

gccom_2008_12_16_234048_gf

Specify intranet Microsoft Update service location

Bạn nhập http://[IP Máy WSUS Server] vào là xong

gccom_2008_12_16_234119_gf

OK mình vừa giới thiệu xong phần Hacking & Windows Server Update Service trong 70-291 của MCSA.