È possibile "impronta" delle "patch" applicate a un sistema Windows?

3

Due situazioni con un obiettivo simile:

1) Hai accesso a una rete di destinazione e a un host Windows. È possibile improntare da remoto le impronte digitali che le patch (sicurezza del sistema operativo) sono applicate al sistema senza tentare exploit effettivi?

2) Se si ha accesso parziale o completo a una destinazione (accesso senza privilegi o accesso root) è possibile imprimere con un dito le patch di sicurezza che sono state applicate senza tentare gli exploit che le patch risolvono?

Prima dovrei dichiarare che questo è dal punto di vista della squadra rossa. Al proprietario del computer di destinazione non possono essere poste domande o viene richiesto di intraprendere alcuna azione. Inoltre, la furtività è essenziale.

Esiste un mondo di differenza tra un sistema senza patch e un sistema con patch, ma è piuttosto rumoroso e rischia di abbattere il sistema per provare troppi exploit effettivi (e sembra il modo stupido per trovare la patch livello.) Esiste un modo sicuro e silenzioso per rilevare le impronte digitali?

    
posta baordog 30.01.2015 - 16:15
fonte

2 risposte

2

È possibile eseguire un'impronta digitale di rete non autenticata per alcune patch, ma solo alcune. Nessus è uno strumento e può trovare ad es. MS08-067, MS12-036, senza credenziali. Puoi usare Nessus gratuitamente con la licenza di casa. Nmap ha anche alcuni script per questo (ad es. MS08-067 ) anche se tieni presente che questo è diverso alle impronte digitali Ramrod menzionate nella sua risposta.

Molte patch non influenzano nulla che sia direttamente accessibile dalla rete, ad es. Patch di Internet Explorer. Puoi fare un test simile facendo visitare il client a un sito Web che lo controlla. Qualys BrowserCheck è un esempio.

Il solito modo di eseguire la scansione delle patch per eseguire scansioni utilizzando le credenziali dell'amministratore. Ci sono molti strumenti che lo fanno (incluso Nessus). In teoria, mi aspetto che tu possa fare una discreta scansione delle patch con credenziali non di amministratore. Tuttavia, non conosco nessuno strumento che faccia questo, e dubito che qualcuno sarebbe particolarmente interessato a crearne uno.

    
risposta data 30.01.2015 - 16:52
fonte
-1

È possibile impronte digitali di un sistema in remoto, sebbene nel processo generi una buona quantità di traffico di rete.

Programmi come NMAP possono inviare una moltitudine di pacchetti su porte diverse e analizzare la risposta del sistema di destinazione.

In sostanza, ogni patch regola in genere l'impostazione predefinita di una, se non più, risposte di porta. NMAP analizza queste risposte, fino a bit per bit, per determinare quali patch sono in esecuzione. Alcune patch sono più facili da impronte digitali perché potrebbero presentare alcune anomalie nella loro struttura di codice, che (ad esempio) potrebbero causare l'impostazione di alcuni flag TCP / UDP che normalmente non sarebbero.

Potrebbe sembrare che questo sia un metodo abbastanza inaffidabile, ma le porte sono numerate con 16 bit, dando 65.536 porte differenti per UDP e TCP che potrebbero potenzialmente essere controllate!

    
risposta data 30.01.2015 - 16:35
fonte

Leggi altre domande sui tag