* θύρα 135 (rpc endpoint mapper): Αυτή είναι η κύρια θύρα για την υπηρεσία τηλεπισκόπησης (RPC) στα Windows. Το RPC είναι ένας μηχανισμός που επιτρέπει εφαρμογές σε διαφορετικούς υπολογιστές να επικοινωνούν μεταξύ τους. Μια ανοικτή θύρα 135 σημαίνει ότι το σύστημα δέχεται αιτήματα RPC, ενδεχομένως εκθέτοντας πολυάριθμες υπηρεσίες ανάλογα με τις άλλες υπηρεσίες που λειτουργούν και διαμορφώνονται ώστε να χρησιμοποιούν το RPC. Πρόκειται για μια σημαντική ανησυχία για την ασφάλεια, διότι οι επιτιθέμενοι μπορούν να το χρησιμοποιήσουν για να απαριθμήσουν άλλες ανοικτές υπηρεσίες και ενδεχομένως να εκμεταλλευτούν τις ευπάθειες σε αυτές τις υπηρεσίες.
* θύρα 137 (υπηρεσία Netbios Name Service): Αυτή η θύρα χρησιμοποιείται από την υπηρεσία Netbios Name, επίσης κυρίως συνδεδεμένη με τα Windows. Το NetBios είναι ένα πρωτόκολλο δικτύωσης που χρησιμοποιείται για την επίλυση των ονομάτων υπολογιστών σε διευθύνσεις IP σε ένα τοπικό δίκτυο. Αν και δεν είναι εγγενώς ένας τεράστιος κίνδυνος ασφαλείας από μόνη της, η παρουσία του συχνά σημαίνει ένα σύστημα των Windows και βοηθά τους επιτιθέμενους να επιβεβαιώσουν τον στόχο τους. Επιπλέον, μπορεί να χρησιμοποιηθεί σε συνδυασμό με άλλα εργαλεία για τη συλλογή περαιτέρω πληροφοριών σχετικά με το δίκτυο.
Συνέπειες για έναν εισβολέα:
Η εύρεση αυτών των θυρών ανοιχτά επιτρέπει σε έναν εισβολέα να:
* απαριθμήστε τις υπηρεσίες: Χρησιμοποιήστε εργαλεία όπως `rpcinfo` (σε συστήματα Linux/Unix) ή άλλα εργαλεία απαρίθμησης RPC για να ανακαλύψετε άλλες υπηρεσίες που εκτελούνται στο σύστημα που χρησιμοποιούν το RPC. Αυτό θα μπορούσε να εκθέσει υπηρεσίες με γνωστές ευπάθειες.
* επιθέσεις εκκίνησης έναντι συγκεκριμένων υπηρεσιών: Μόλις εντοπιστούν άλλες υπηρεσίες, ο εισβολέας μπορεί να ερευνήσει και να εκμεταλλευτεί γνωστές ευπάθειες εντός αυτών των υπηρεσιών (π.χ. ευπάθειες σε συγκεκριμένες εφαρμογές που βασίζονται σε RPC όπως η SAMBA, εάν εκτελείται σε σύστημα μη παραθαλάσσιων).
* Αποκτήστε πληροφορίες δικτύου: Η θύρα 137 μπορεί να χρησιμοποιηθεί σε συνδυασμό με άλλα εργαλεία για να χαρτογραφήσει το δίκτυο και να εντοπίσει άλλες συσκευές.
* Διεξαγωγή περαιτέρω αναγνώρισης: Αυτή η αρχική ανακάλυψη βοηθά τον επιτιθέμενο να βελτιώσει τη στρατηγική επίθεσης.
μετριασμός:
Οι διαχειριστές του συστήματος πρέπει:
* Απενεργοποιήστε τις περιττές υπηρεσίες: Εκτελέστε μόνο τις απαραίτητες υπηρεσίες για τη λειτουργία του συστήματος.
* Κρατήστε τα συστήματα patched: Εφαρμόζουν τακτικά ενημερώσεις ασφαλείας για να ενημερωθούν τα γνωστά τρωτά σημεία στο RPC και σε άλλες υπηρεσίες.
* Περιορίστε την πρόσβαση στο δίκτυο: Χρησιμοποιήστε τείχη προστασίας για να περιορίσετε την πρόσβαση στις θύρες 135 και 137 από μη αξιόπιστα δίκτυα.
* Εφαρμογή συστημάτων ανίχνευσης/πρόληψης εισβολής (IDS/IPS): Αυτά μπορούν να ανιχνεύσουν και να εμποδίσουν την κακόβουλη δραστηριότητα που στοχεύει σε αυτές τις θύρες.
* Αρχή του ελάχιστου προνομίου: Εκτέλεση υπηρεσιών με τα ελάχιστα απαραίτητα δικαιώματα.
Εν ολίγοις, η ανακάλυψη των λιμένων 135 και 137 είναι μια σημαντική κόκκινη σημαία και πρέπει να διερευνηθεί και να αποκατασταθεί αμέσως. Αυξάνει σημαντικά τον κίνδυνο επιτυχούς επίθεσης.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα