¿Es posible "huella digital" los "parches" aplicados a un sistema Windows?

Navega tus respuestas
3

Dos situaciones con un objetivo similar:

1) Tienes acceso a una red de destino, y eres un host de Windows. ¿Es posible realizar una huella digital remota de los parches (seguridad del sistema operativo) que se aplican al sistema sin intentar explotaciones reales?

2) Si tiene acceso parcial o total a un objetivo (inicio de sesión no privilegiado o acceso de root), ¿es posible hacer una huella digital de los parches de seguridad que se han aplicado sin intentar las vulnerabilidades que los parches solucionan?

Debería declarar primero, que esto es desde la perspectiva del equipo rojo. No se le pueden hacer preguntas al propietario de la computadora de destino, o se le puede pedir que tome medidas. Además, el sigilo es de la esencia.

Hay un mundo de diferencia entre un sistema no parcheado y un sistema parcheado, pero es bastante ruidoso, y corre el riesgo de que el sistema intente demasiadas vulnerabilidades reales (y parece ser la forma más tonta de encontrar el parche). nivel.) ¿Hay alguna forma segura y silenciosa de tomar huellas dactilares?

    
pregunta baordog 30.01.2015 - 16:15
fuente

2 respuestas

2

Es posible hacer una huella digital de red no autenticada para ciertos parches, pero solo unos pocos. Nessus es una herramienta, y puede encontrar, por ejemplo, MS08-067, MS12-036, sin credenciales. Puede utilizar Nessus gratis bajo la licencia de la casa. Nmap también tiene algunos scripts para esto (por ejemplo, MS08-067 ), aunque tenga en cuenta que esto es diferente a las huellas dactilares que mencionó Ramrod en su respuesta.

Muchos parches no afectan nada que sea directamente accesible a la red, por ejemplo, Parches de Internet Explorer. Puede hacer una prueba similar haciendo que el cliente visite un sitio web que lo verifique. Qualys BrowserCheck es un ejemplo.

La forma habitual de hacer un escaneo de parches para escanear utilizando las credenciales de administrador. Hay muchas herramientas que hacen esto (incluido Nessus). En teoría, espero que pueda hacer un buen escaneo de parches con credenciales que no sean de administrador. Sin embargo, no conozco ninguna herramienta que haga esto, y dudo que alguien esté particularmente interesado en crear una.

    
respondido por el paj28 30.01.2015 - 16:52
fuente
-1

Es posible crear huellas digitales de un sistema de forma remota, aunque genera una buena cantidad de tráfico de red en el proceso.

Los programas como NMAP pueden enviar una multitud de paquetes en distintos puertos y analizar la respuesta del sistema de destino.

Básicamente, cada parche normalmente ajusta el valor predeterminado de una, si no múltiples, respuestas de puerto. NMAP analiza estas respuestas, hasta bit a bit, para determinar qué parches se están ejecutando. Algunos parches son más fáciles de identificar porque pueden tener algunas anomalías en la estructura de su código, lo que (por ejemplo) puede hacer que se establezcan ciertos indicadores TCP / UDP que normalmente no lo serían.

Puede parecer que este es un método bastante poco confiable, ¡pero los puertos están numerados con 16 bits, lo que da 65,536 puertos diferentes para UDP y TCP que podrían ser revisados!

    
respondido por el Ramrod 30.01.2015 - 16:35
fuente

Lea otras preguntas en las etiquetas

Cumple con PCI Almacenamiento de datos de tarjeta de crédito en una tableta sin conexión Actualizaciones de seguridad del escáner Nessus y Red Hat backport