Удаленное определение уровня пакета обновления Windows Server

334
SnakeDoc

Один из наших веб-серверов просто не справился с PCI-DSS из-за уязвимости. Сканирование обнаружило, что ОС Windows Server 2003 с пакетом обновления 1 (очевидно, очень устарела!).

Мой вопрос заключается в том, как сканирование vuln обнаружило это, так как я не могу найти способ получить ту же информацию, не имея доступа AD к этому блоку (он находится в сети поставщиков услуг). Даже с nmap он предоставляет только предположения о версии ОС:

Агрессивные догадки ОС: Microsoft Windows Server 2003 SP1 или SP2 (99%). Как мне проверить это, прежде чем отправлять очень, очень раздраженное электронное письмо нашему провайдеру? Если это верно, то я бы сказал, что это халатность, и мой электронный тональный сигнал не будет очень хорошим.

У меня нет доступа к этому окну

2
Вы пробовали делать дактилоскопию с использованием metasploit / armitage? James 10 лет назад 1
Разве вы не можете просто спросить человека, который обнаружил эту проблему, как они ее определили? Я предполагаю, что они работают на вашу компанию в некотором качестве. Ramhound 10 лет назад 0

1 ответ на вопрос

0
STTR

Close all ports. Reassign the port RDP. Modify the TTL. And most likely your system does not determine from the response).

Modify the TTL:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters] DefaultTTL 64 DWORD

Reassign the port RDP (mstsc :3333):

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] PortNumber 3333 DWORD

Reassign the VPN port:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\\0003] TCPPortNumber <VPN port number> DWORD

Disable IPv6

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters DisabledComponents 0xffffffff DWORD

command, disable IPv6 Teredo, 6to4, ISATAP:

netsh interface teredo set state disabled netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled netsh interface ipv6 isatap set state state=disabled

Change response services, and so on and so forth ...

Close all not need ports.

хотя это хорошая информация, к сожалению, я думаю, что вы пропустили мой OP, где я заявил, что у нас нет доступа к этому окну. Кроме того, простое сокрытие просочившейся информации не является решением, потому что коробка серьезно уязвима даже для заносов, использующих метасплот и определенный сбой PCI-DSS. SnakeDoc 10 лет назад 0
@SnakeDoc Эта станция с W2K3 SP1 внутри вашего периметра или инфраструктуры? Если это так, вы можете повлиять на ситуацию с программным и аппаратным обеспечением. Если нет, сообщите об этом административному клиенту и не напрягайтесь). STTR 10 лет назад 0

Похожие вопросы