2.1 CVE-2011-2784

Exploit Ransomware Risk

O Google Chrome anterior a 13.0.782.107 permite que invasores remotos obtenham informações confidenciais por meio de uma solicitação para o log do programa GL, que revela um caminho local em uma entrada de log não especificada.
https://nvd.nist.gov/vuln/detail/CVE-2011-2784

Categorias

CWE-200 : Exposição de Informações Sensíveis a um Ator Não Autorizado
O produto expõe informação sensível a um actor que não está explicitamente autorizado a ter acesso a essa informação. Os programadores podem inserir informação sensível que não acreditam, ou podem esquecer-se de remover a informação sensível depois de esta ter sido processada. Erros ou fraquezas separados poderiam inadvertidamente disponibilizar a informação sensível a um agressor, tal como numa mensagem de erro detalhada que pode ser lida por uma parte não autorizada. Este termo é frequentemente utilizado nos avisos de vulnerabilidade para descrever uma consequência ou impacto técnico, para qualquer vulnerabilidade que tenha uma perda de confidencialidade. Muitas vezes, o CWE-200 pode ser mal utilizado para representar a perda de confidencialidade, mesmo quando o erro - ou seja, a fraqueza - não está directamente relacionado com a má gestão da própria informação, tal como uma leitura fora dos limites que acede a conteúdos de memória sensíveis; aqui, a leitura fora dos limites é a fraqueza principal, não a revelação da memória. Além disso, esta frase é também utilizada frequentemente em políticas e documentos legais, mas não se refere a qualquer divulgação de informação relevante em matéria de segurança. Este é um termo frequentemente utilizado, contudo o termo "fuga" tem múltiplas utilizações dentro da segurança. Em alguns casos, trata da exposição acidental de informação de uma fraqueza diferente, mas noutros casos (tais como "fuga de memória"), trata da localização inadequada de recursos, o que pode levar à exaustão. Como resultado, a CWE está a evitar activamente a utilização do termo "fuga de informação". Enumeração de nomes de utilizador válidos com base em respostas inconsistentes Enumeração de números de conta através de respostas inconsistentes. Enumeração de utilizadores através de discrepâncias nas mensagens de erro. O protocolo Telnet permite que os servidores obtenham informações de ambiente sensível dos clientes. O Script chama phpinfo(), revelando a configuração do sistema ao utilizador web O produto define uma TTL diferente quando uma porta está a ser filtrada do que quando não está a ser filtrada, o que permite aos atacantes remotos identificar portas filtradas através da comparação de TTLs. O sistema de controlo de versão permite aos atacantes remotos determinar a existência de ficheiros e directórios arbitrários através do comando -X para um ficheiro de histórico alternativo, o que faz com que diferentes mensagens de erro sejam devolvidas. A máquina virtual permite aos operadores de sítios maliciosos determinar a existência de ficheiros no cliente, medindo os atrasos na execução do método getSystemResource. O produto envia imediatamente uma mensagem de erro quando um utilizador não existe, o que permite aos atacantes remotos determinar nomes de utilizador válidos através de um ataque em tempo útil. O servidor POP3 revela uma palavra-passe numa mensagem de erro depois de vários comandos APOP serem enviados. Pode ser resultante de outra fraqueza. O programa revela uma palavra-passe numa mensagem de erro se o atacante puder desencadear certos erros na base de dados. Composto: aplicação executada com privilégios elevados (CWE-250) permite ao utilizador especificar um ficheiro restrito para processar, o que gera um erro de análise que derrama o conteúdo do ficheiro (CWE-209). O pedido directo ao ficheiro da biblioteca na aplicação web desencadeia a fuga de pathname na mensagem de erro. A sintaxe regexp malformada leva à exposição da informação na mensagem de erro. Senha exposta em informação de depuração. Cliente FTP com opção de depuração activada mostra a palavra-passe no ecrã. A plataforma de colaboração não limpa os e-mails da equipa numa resposta, permitindo a fuga de endereços de correio electrónico

Referências

CONFIRM

http://code.google.com/p/chromium/issues/detail?id=83841 Vendor Advisory
http://googlechromereleases.blogspot.com/2011/08/stable-channel-update.html Vendor Advisory

OSVDB

74234 Broken Link

OVAL

oval:org.mitre.oval:def:14580 Third Party Advisory

XF Exploit

google-chrome-gl-path-disclosure(68946) Exploit Third Party Advisory VDB Entry

CPE

cpe	começar	fim
Configuration 1
cpe:2.3:a:google:chrome::::::::		< 13.0.782.107

REMEDIAÇÃO

EXPLOITS

Exploit-db.com

id	descrição	datado
Nenhum exploit conhecido

Outros (github, ...)

Url
google-chrome-gl-path-disclosure(68946)

CAPEC

Common Attack Pattern Enumerations and Classifications

id	descrição	gravidade
116	Escavação Um adversário sonda activamente o alvo de uma forma concebida para solicitar informações que possam ser alavancadas para fins maliciosos.	Média
13	Subverter valores de variáveis do ambiente O adversário modifica direta ou indiretamente as variáveis de ambiente utilizadas pelo software alvo ou controlando-o. O objetivo do adversário é fazer com que o software alvo se desvie do seu funcionamento esperado de uma forma que beneficie o adversário. O adversário primeiro sonda a aplicação alvo para determinar informações importantes sobre o alvo. Esta informação pode incluir os tipos de software utilizados, versões de software, o que o utilizador consome, etc. Mais importante, o adversário tenta determinar quais variáveis de ambiente podem ser usadas pelo software subjacente, ou mesmo pela própria aplicação. Usando a informação encontrada ao sondar a aplicação, o adversário tenta manipular qualquer variável de ambiente controlada pelo usuário que tenha encontrado, ou suspeita de estar sendo usada pela aplicação, e observar os efeitos dessas mudanças. Se o adversário notar alguma alteração significativa na aplicação, saberá que uma determinada variável de ambiente é importante para o comportamento da aplicação e indica um possível vetor de ataque. O adversário manipula a(s) variável(s) de ambiente encontrada(s) para abusar do fluxo normal dos processos ou para obter acesso a recursos privilegiados.	Muito alto
169	Pegada de pé Um adversário envolve-se em actividades de sondagem e exploração para identificar os constituintes e propriedades do alvo. [O atacante examina a informação do website e o código fonte do website e utiliza ferramentas automatizadas para obter o máximo de informação possível sobre o sistema e organização.	Muito fraco
22	Explorando a confiança no cliente Um ataque deste tipo explora vulnerabilidades na autenticação do canal de comunicação cliente / servidor e integridade de dados. Ele alavanca a confiança implícita que um servidor deposita no cliente, ou mais importante, aquela que o servidor acredita ser o cliente. Um invasor executa esse tipo de ataque comunicando-se diretamente com o servidor onde o servidor acredita estar se comunicando apenas com um cliente válido. Existem inúmeras variações desse tipo de ataque.	Alto
224	Impressão digital Um adversário compara a saída de um sistema de destino com indicadores conhecidos que identificam exclusivamente detalhes específicos sobre o destino. Mais comumente, a impressão digital é feita para determinar o sistema operacional e as versões do aplicativo. A impressão digital pode ser feita de forma passiva ou ativa. A impressão digital por si só não costuma prejudicar o alvo. No entanto, as informações coletadas por meio de impressões digitais muitas vezes permitem que um adversário descubra os pontos fracos existentes no alvo.	Muito fraco
285	ICMP Echo Request Ping Um adversário envia uma Solicitação de Eco ICMP Tipo 8, comumente conhecida como 'Ping', a fim de determinar se um sistema alvo é responsivo. Se a solicitação não for bloqueada por um firewall ou ACL, o host alvo responderá com um datagrama de resposta de eco tipo 0 do ICMP. Este tipo de troca é geralmente referido como um 'Ping' devido ao utilitário Ping presente em quase todos os sistemas operacionais. Ping, como comumente implementado, permite ao usuário testar hosts vivos, medir o tempo de ida e volta, e medir a porcentagem de perda de pacotes.	Baixo
287	TCP SYN Scan Um adversário usa um scan SYN para determinar o estado das portas no alvo remoto. O varrimento SYN é o tipo mais comum de varrimento de portas que é usado devido às suas muitas vantagens e poucos inconvenientes. Como resultado, atacantes novatos tendem a confiar excessivamente no SYN scan enquanto realizam o reconhecimento do sistema. Como método de varredura, as principais vantagens da varredura SYN são sua universalidade e velocidade. Um adversário envia pacotes SYN para portas que eles querem escanear e verifica a resposta sem completar o aperto de mão TCP. Um adversário usa a resposta do alvo para determinar o estado da porta. O adversário pode determinar o estado de uma porta com base nas seguintes respostas. Quando um SYN é enviado para uma porta aberta e uma porta não filtrada, um SYN/ACK será gerado. Quando um pacote SYN é enviado para uma porta fechada, um RST é gerado, indicando que a porta está fechada. Quando a varredura SYN para uma porta em particular não gera resposta, ou quando o pedido aciona erros ICMP Tipo 3 inalcançáveis, a porta é filtrada.	Baixo
290	Enumerar registros MX (Mail Exchange) Um adversário enumera os registros MX de um determinado por meio de uma consulta DNS. Este tipo de coleta de informações retorna os nomes dos servidores de correio na rede. Os servidores de correio geralmente não são expostos à Internet, mas estão localizados na DMZ de uma rede protegida por um firewall. Um efeito colateral dessa configuração é que enumerar os registros MX de uma organização pode revelar o endereço IP do firewall ou possivelmente de outros sistemas internos. Os invasores geralmente recorrem à enumeração de registros MX quando uma transferência de zona DNS não é possível.	Baixo
291	Transferências de zona DNS Um invasor explora uma configuração incorreta de DNS que permite uma transferência de ZONA. Alguns servidores DNS externos retornarão uma lista de endereços IP e nomes de host válidos. Sob certas condições, pode até ser possível obter dados da Zona sobre a rede interna da organização. Quando bem-sucedido, o invasor aprende informações valiosas sobre a topologia da organização alvo, incluindo informações sobre servidores específicos, sua função na estrutura de TI e, possivelmente, informações sobre os sistemas operacionais em execução na rede. Este é um comportamento dependente da configuração, portanto, também pode ser necessário pesquisar vários servidores DNS ao tentar encontrar um com transferências de ZONA permitidas.	Baixo
292	Host Discovery Um adversário envia uma sonda a um endereço IP para determinar se o host está ativo. A descoberta de host é uma das primeiras fases de reconhecimento de rede. O adversário geralmente começa com um intervalo de endereços IP pertencentes a uma rede de destino e usa vários métodos para determinar se um host está presente nesse endereço IP. A descoberta de host é geralmente referida como varredura 'Ping' usando uma analogia de sonar. O objetivo é enviar um pacote ao endereço IP e solicitar uma resposta do host. Como tal, um 'ping' pode ser virtualmente qualquer pacote criado, desde que o adversário possa identificar um host funcional com base em sua resposta. Um ataque dessa natureza geralmente é executado com uma 'varredura de ping', em que um tipo específico de ping é enviado a uma série de endereços IP.	Baixo
293	Traceroute Route Enumeration Um adversário usa um utilitário traceroute para mapear a rota pela qual os dados fluem através da rede em rota para um destino alvo. O rastreamento de roteamento pode permitir que o adversário construa uma topologia funcional de sistemas e roteadores, listando os sistemas pelos quais os dados passam em seu caminho para a máquina de destino. Este ataque pode retornar resultados variados dependendo do tipo de traceroute executado. O Traceroute funciona enviando pacotes para um destino enquanto incrementa o campo Time-to-Live no cabeçalho do pacote. Conforme o pacote atravessa cada salto ao longo de seu caminho até o destino, seu TTL expira, gerando uma mensagem de diagnóstico ICMP que identifica onde o pacote expirou. As técnicas tradicionais de rastreamento envolvem o uso de ICMP e UDP,mas à medida que mais firewalls começaram a filtrar o ICMP de entrada, foram desenvolvidos métodos de traceroute usando TCP.	Baixo
294	ICMP Address Mask Request Um adversário envia um Pedido de Máscara de Endereço ICMP Tipo 17 para reunir informações sobre a configuração de rede de um alvo. As Solicitações de Máscara de Endereço ICMP são definidas pelo RFC-950, "Internet Standard Subnetting Procedure." Uma Solicitação de Máscara de Endereço é uma mensagem ICMP tipo 17 que aciona um sistema remoto para responder com uma lista de suas sub-redes relacionadas, bem como seu gateway padrão e endereço de transmissão através de um datagrama de Resposta de Máscara de Endereço tipo 18 do ICMP. A coleta desse tipo de informação ajuda o adversário a planejar ataques baseados em roteadores, bem como ataques de negação de serviço contra o endereço de transmissão.	Baixo
295	Solicitação de carimbo de data / hora Este padrão de ataque aproveita as solicitações padrão para aprender o tempo exato associado a um sistema alvo. Um adversário pode ser capaz de usar o carimbo de data / hora retornado do alvo para atacar algoritmos de segurança baseados em tempo, como geradores de números aleatórios ou mecanismos de autenticação baseados em tempo.	Baixo
296	ICMP Information Request Um adversário envia uma Solicitação de Informação ICMP a um host para determinar se ele responderá a este mecanismo obsoleto. As Solicitações de Informações ICMP são um tipo de mensagem obsoleto. As Solicitações de Informações foram originalmente usadas para máquinas sem disco para obter automaticamente sua configuração de rede, mas esse tipo de mensagem foi substituído por implementações de protocolo mais robustas, como DHCP.	Baixo
297	TCP ACK Ping Um adversário envia um segmento TCP com o sinalizador ACK definido para um host remoto com o objetivo de determinar se o host está ativo. Este é um dos vários tipos de 'ping' de TCP. O comportamento esperado do RFC 793 para um serviço é responder com um pacote RST de 'redefinição' para qualquer segmento ACK não solicitado que não faça parte de uma conexão existente. Portanto, ao enviar um segmento ACK a uma porta, o adversário pode identificar que o host está ativo procurando por um pacote RST. Normalmente, um servidor remoto responderá com um RST, independentemente de a porta estar aberta ou fechada. Dessa forma, os pings TCP ACK não podem descobrir o estado de uma porta remota porque o comportamento é o mesmo em ambos os casos.O firewall pesquisará o pacote ACK em sua tabela de estados e descartará o segmento porque ele não corresponde a nenhuma conexão ativa. Um TCP ACK Ping pode ser usado para descobrir se um host está ativo por meio de pacotes de resposta RST enviados do host.	Baixo
298	UDP Ping Um adversário envia um datagrama UDP ao host remoto para determinar se o host está ativo. Se um datagrama UDP é enviado para uma porta UDP aberta, muitas vezes não há resposta, então uma estratégia típica para usar um ping UDP é enviar o datagrama para uma porta alta aleatória no destino. O objetivo é solicitar uma mensagem de 'porta ICMP inacessível' do destino, indicando que o host está ativo. Os pings UDP são úteis porque alguns firewalls não são configurados para bloquear datagramas UDP enviados para portas estranhas ou normalmente não utilizadas, como portas na faixa de 65K. Além disso, embora alguns firewalls possam filtrar o ICMP de entrada, os pontos fracos nos conjuntos de regras do firewall podem permitir certos tipos de ICMP (host inacessível, porta inacessível) que são úteis para tentativas de ping UDP.	Baixo
299	TCP SYN Ping Um adversário usa pacotes TCP SYN como um meio para a descoberta do hospedeiro. O comportamento típico da RFC 793 especifica que quando uma porta TCP está aberta, um host deve responder a um pacote SYN "sincronizar" de entrada completando a etapa dois do "aperto de mão de três vias" - enviando um SYN/ACK em resposta. Quando uma porta é fechada, o comportamento do RFC 793 é responder com um pacote RST "resetado". Este comportamento pode ser usado para 'pingar' um alvo para ver se ele está vivo, enviando um pacote SYN TCP para uma porta e depois procurando por um pacote RST ou ACK em resposta.	Baixo
300	Port Scanning Um adversário usa uma combinação de técnicas para determinar o estado dos portos em um alvo remoto. Qualquer serviço ou aplicativo disponível para redes TCP ou UDP terá uma porta aberta para comunicações através da rede.	Baixo
301	TCP Connect Scan Um adversário usa uma conexão TCP completa para tentar determinar se uma porta está aberta no sistema alvo. O processo de escaneamento envolve completar um 'aperto de mão de três vias' com uma porta remota, e informa a porta como fechada se o aperto de mão completo não puder ser estabelecido. Uma vantagem da varredura de conexão TCP é que ela funciona contra qualquer pilha TCP/IP. Um adversário tenta inicializar uma conexão TCP com a porta de destino. Um adversário usa o resultado de sua conexão TCP para determinar o estado da porta de destino. Uma conexão bem-sucedida indica que uma porta está aberta com um serviço ouvindo-a enquanto uma conexão falhada indica que a porta não está aberta.	Baixo
302	TCP FIN Scan Um adversário usa um scan TCP FIN para determinar se as portas estão fechadas na máquina alvo. Esse tipo de scan é realizado enviando segmentos TCP com o bit FIN definido no cabeçalho do pacote. O comportamento esperado da RFC 793 é que qualquer segmento TCP com uma bandeira fora do estado enviada para uma porta aberta é descartado, enquanto segmentos com bandeiras fora do estado enviadas para portas fechadas devem ser tratados com um RST em resposta. Este comportamento deve permitir ao adversário procurar portas fechadas enviando certos tipos de pacotes que quebram regras (fora de sincronia ou não autorizados pelo TCB) e detectar portas fechadas através de pacotes RST. Um adversário envia pacotes TCP com a bandeira FIN mas não associados a uma conexão existente com as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Se nenhuma resposta for recebida, a porta está aberta. Se um pacote RST é recebido, então a porta é fechada.	Baixo
303	TCP Xmas Scan Um adversário usa um scan TCP XMAS para determinar se as portas estão fechadas na máquina alvo. Este tipo de scan é realizado enviando segmentos TCP com todas as bandeiras possíveis definidas no cabeçalho do pacote, gerando pacotes que são ilegais com base na RFC 793. O comportamento esperado da RFC 793 é que qualquer segmento TCP com uma bandeira fora do estado enviada para uma porta aberta é descartado, enquanto segmentos com bandeiras fora do estado enviadas para portas fechadas devem ser tratados com um RST em resposta. Este comportamento deve permitir que um atacante procure portas fechadas enviando certos tipos de pacotes que quebram regras (fora de sincronia ou proibidos pelo TCB) e detecte portas fechadas através de pacotes RST. Um adversário envia pacotes TCP com todas as flags definidas, mas não associadas a uma conexão existente com as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Se nenhuma resposta for recebida, a porta está aberta. Se um pacote RST é recebido, então a porta é fechada.	Baixo
304	TCP Null Scan Um adversário usa um scan TCP NULL para determinar se as portas estão fechadas na máquina alvo. Este tipo de scan é realizado enviando segmentos TCP sem flags no cabeçalho do pacote, gerando pacotes que são ilegais com base na RFC 793. O comportamento esperado da RFC 793 é que qualquer segmento TCP com uma bandeira fora do estado enviada para uma porta aberta é descartado, enquanto segmentos com bandeiras fora do estado enviados para portas fechadas devem ser tratados com um RST em resposta. Este comportamento deve permitir que um atacante procure portas fechadas enviando certos tipos de pacotes que quebram regras (fora de sincronia ou proibidos pelo TCB) e detecte portas fechadas através de pacotes RST. Um adversário envia pacotes TCP sem flags definidos e que não estão associados a uma conexão existente com as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Se nenhuma resposta for recebida, a porta está aberta. Se um pacote RST é recebido, então a porta é fechada.	Baixo
305	TCP ACK Scan Um adversário usa segmentos TCP ACK para coletar informações sobre firewall ou configuração ACL. O propósito deste tipo de verificação é descobrir informações sobre configurações de filtros e não sobre o estado da porta. Este tipo de varredura raramente é útil sozinho, mas quando combinado com a varredura SYN, dá uma imagem mais completa do tipo de regras de firewall que estão presentes. Um adversário envia pacotes TCP com o conjunto de flag ACK e que não estão associados a uma conexão existente com as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Se um pacote RST é recebido, a porta de destino é fechada ou o ACK foi enviado para fora da sincronização. Se nenhuma resposta for recebida, é provável que o alvo esteja usando um firewall de estado.	Baixo
306	TCP Window Scan Um adversário se envolve na varredura da Janela TCP para analisar o status da porta e o tipo de sistema operacional. A varredura TCP Window usa o método ACK mas examina o campo TCP Window Size dos pacotes RST de resposta para fazer certas inferências. Enquanto as varreduras da Janela TCP são rápidas e relativamente furtivas, elas funcionam contra menos implementações de pilha TCP do que qualquer outro tipo de varredura. Alguns sistemas operacionais retornam um tamanho de janela TCP positivo quando um pacote RST é enviado de uma porta aberta, e um valor negativo quando o RST se origina de uma porta fechada. A varredura da janela TCP é um dos tipos mais complexos de varredura, e seus resultados são difíceis de interpretar. Somente a varredura de janela raramente produz informações úteis, mas quando combinada com outros tipos de varredura é mais útil. É um meio geralmente mais confiável de fazer inferências sobre as versões do sistema operacional do que o status da porta. Um adversário envia pacotes TCP com o conjunto de flags ACK e que não estão associados a uma conexão existente com as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Especificamente, o adversário visualiza o tamanho da janela TCP a partir do pacote RST retornado, caso um tenha sido recebido. Dependendo do sistema operacional de destino, um tamanho de janela positivo pode indicar uma porta aberta enquanto um tamanho de janela negativo pode indicar uma porta fechada.	Baixo
307	TCP RPC Scan Um adversário procura a listagem de serviços RPC em um host Unix/Linux. Um adversário envia pacotes RCP para as portas de destino. Um adversário usa a resposta do alvo para determinar qual, se houver, o serviço RPC está rodando naquela porta. As respostas variam de acordo com o serviço RPC que está sendo executado.	Baixo
308	UDP Scan Um adversário se envolve na verificação UDP para coletar informações sobre o status da porta UDP no sistema alvo. Os métodos de escaneamento UDP envolvem o envio de um datagrama UDP para a porta de destino e a busca de evidências de que a porta está fechada. Portas UDP abertas geralmente não respondem aos datagramas UDP, pois não há nenhum mecanismo de estado dentro do protocolo que requeira a construção ou o estabelecimento de uma sessão. As respostas aos datagramas do UDP são, portanto, específicas à aplicação e não podem ser consideradas como um método de detecção de uma porta aberta. A varredura UDP depende muito das mensagens de diagnóstico ICMP para determinar o status de uma porta remota. Um adversário envia pacotes UDP para as portas de destino. Um adversário usa a resposta do alvo para determinar o estado da porta. Se uma porta responde a um pacote UDP depende do aplicativo que está escutando naquela porta. Nenhuma resposta não indica que a porta não está aberta.	Baixo
309	Mapeamento da topologia da rede Um adversário se envolve em atividades de varredura para mapear nós, hosts, dispositivos e rotas da rede. Os adversários geralmente realizam esse tipo de reconhecimento de rede durante os estágios iniciais de ataque contra uma rede externa. Muitos tipos de utilitários de varredura são normalmente empregados, incluindo ferramentas ICMP, mapeadores de rede, scanners de porta e utilitários de teste de rota, como o traceroute.	Baixo
310	Procurando software vulnerável Um invasor se envolve em uma atividade de varredura para encontrar versões ou tipos de software vulneráveis, como versões de sistema operacional ou serviços de rede. Configurações de rede vulneráveis ou exploráveis, como sistemas com firewalls inadequados ou sistemas configurados incorretamente na DMZ ou rede externa, fornecem janelas de oportunidade para um invasor. Os tipos comuns de software vulnerável incluem sistemas operacionais ou serviços sem patch (por exemplo, FTP, Telnet, SMTP, SNMP) executados em portas abertas que o invasor identificou. Os invasores geralmente começam a sondar o software vulnerável assim que a rede externa é verificada e os alvos potenciais são revelados.	Baixo
312	Active OS Fingerprinting Um adversário se envolve em atividade para detectar o sistema operacional ou versão de firmware de um alvo remoto interrogando um dispositivo, servidor ou plataforma com uma sonda projetada para solicitar comportamento que revelará informações sobre os sistemas operacionais ou firmware no ambiente. A detecção do sistema operacional é possível porque as implementações de protocolos comuns (como IP ou TCP) diferem de maneiras distintas. Embora as diferenças de implementação não sejam suficientes para 'quebrar' a compatibilidade com o protocolo, as diferenças são detectáveis porque o destino responderá de maneiras exclusivas à atividade de sondagem específica que quebra as regras semânticas ou lógicas de construção de pacote para um protocolo. Diferentes sistemas operacionais terão uma resposta única para a entrada anômala,fornecendo a base para identificar o comportamento do sistema operacional. Este tipo de impressão digital do sistema operacional pode distinguir entre tipos e versões de sistema operacional.	Baixo
313	Impressão digital passiva do sistema operacional Um adversário se envolve em atividades para detectar a versão ou tipo de software de sistema operacional em um ambiente, monitorando passivamente a comunicação entre dispositivos, nós ou aplicativos. As técnicas passivas para detecção do sistema operacional não enviam sondagens reais para um alvo, mas monitoram a rede ou a comunicação cliente-servidor entre os nós para identificar os sistemas operacionais com base no comportamento observado em comparação com um banco de dados de assinaturas ou valores conhecidos. Embora a impressão digital passiva do SO geralmente não seja tão confiável quanto os métodos ativos, geralmente é mais capaz de evitar a detecção.	Baixo
317	IP ID Sequencing Probe Esta sonda de impressão digital do sistema operacional analisa o algoritmo de geração de número de sequência do campo 'ID' de um host remoto. Os sistemas operacionais geram números de 'ID' de IP de maneira diferente, permitindo que um invasor identifique o sistema operacional do host examinando como ele atribui números de ID ao gerar pacotes de resposta. O RFC 791 não especifica como os números de ID são escolhidos ou seus intervalos, portanto, a geração de sequência de ID difere de implementação para implementação. Existem dois tipos de análise de número de sequência de IP 'ID' - Sequenciamento de IP 'ID': analisar o algoritmo de geração de sequência de IP 'ID' para um protocolo usado por um host e Sequenciamento de IP compartilhado de 'ID': analisar a ordenação de pacotes via IP ' Valores de ID 'abrangendo vários protocolos,como entre ICMP e TCP.	Baixo
318	IP 'ID' Sonda de ordem de bytes com eco Este teste de impressão digital do SO testa para determinar se o host remoto ecoa de volta o valor IP 'ID' do pacote de teste. Um invasor envia um datagrama UDP com um valor arbitrário de 'ID' de IP para uma porta fechada no host remoto para observar a maneira como esse bit é ecoado de volta na mensagem de erro ICMP. O campo de identificação (ID) é normalmente utilizado para remontar um pacote fragmentado. Alguns sistemas operacionais ou firmware do roteador invertem a ordem dos bits do campo ID ao ecoar a parte do cabeçalho IP do datagrama original em uma mensagem de erro ICMP.	Baixo
319	IP (DF) 'Não fragmentar bit' Sonda de eco Este teste de impressão digital do SO testa para determinar se o host remoto ecoa de volta o bit IP 'DF' (Não Fragmentar) em um pacote de resposta. Um invasor envia um datagrama UDP com o bit DF definido para uma porta fechada no host remoto para observar se o bit 'DF' está definido no pacote de resposta. Alguns sistemas operacionais ecoarão o bit na mensagem de erro ICMP, enquanto outros zerarão o bit no pacote de resposta.	Baixo
320	TCP Timestamp Probe Esta sonda de impressão digital de SO examina a implementação de timestamps TCP no servidor remoto. Nem todos os sistemas operacionais implementam timestamps dentro do cabeçalho TCP, mas quando os timestamps são usados, isso fornece ao atacante um meio de adivinhar o sistema operacional do alvo. O atacante começa por sondar qualquer serviço TCP ativo para obter resposta que contenha um timestamp TCP. Sistemas operacionais diferentes atualizam o valor do carimbo de tempo usando intervalos diferentes. Este tipo de análise é mais preciso quando múltiplas respostas de carimbo de data/hora são recebidas e depois analisadas. Os carimbos de data/hora TCP podem ser encontrados no campo Opções TCP do cabeçalho TCP. O adversário envia um pacote de sonda para o host remoto para identificar se os carimbos de data e hora estão presentes. Se o host remoto estiver usando timestamp, obtenha vários timestamps, analise-os e compare-os com os valores conhecidos.	Baixo
321	TCP Sequence Number Probe Este teste de impressão digital do SO testa a atribuição de números de sequência TCP do sistema de destino. Uma maneira comum de testar a geração do número de sequência TCP é enviar um pacote de sondagem para uma porta aberta no destino e, em seguida, comparar como o número de sequência gerado pelo destino se relaciona com o número de confirmação no pacote de sondagem. Diferentes sistemas operacionais atribuem números de sequência de forma diferente, portanto, uma impressão digital do sistema operacional pode ser obtida categorizando a relação entre o número de confirmação e o número de sequência da seguinte forma: 1) o número de sequência gerado pelo destino é zero, 2) o número de sequência gerado pelo destino é o mesmo que o número de confirmação na sonda,3) o número de sequência gerado pelo destino é o número de confirmação mais um, ou 4) o número de sequência é qualquer outro número diferente de zero.	Baixo
322	TCP (ISN) Maior Prova do Divisor Comum Este teste de impressão digital do SO envia vários pacotes TCP SYN para uma porta aberta de uma máquina remota. O número de sequência inicial (ISN) em cada um dos pacotes de resposta SYN / ACK é analisado para determinar o menor número que o host de destino usa ao incrementar os números de sequência. Essas informações podem ser úteis para identificar um sistema operacional porque determinados sistemas operacionais e versões incrementam números de sequência usando valores diferentes. O resultado da análise é então comparado com um banco de dados de comportamentos do sistema operacional para determinar o tipo e / ou versão do sistema operacional.	Baixo
323	Teste de taxa do contador TCP (ISN) Esta detecção de sistema operacional mede a taxa média de incrementos de número de sequência inicial durante um período de tempo. Os números de sequência são incrementados usando um algoritmo baseado em tempo e são suscetíveis a uma análise de tempo que pode determinar o número de incrementos por unidade de tempo. O resultado dessa análise é então comparado com um banco de dados de sistemas operacionais e versões para determinar as correspondências prováveis do sistema operacional.	Baixo
324	TCP (ISN) Sequence Predictability Probe Este tipo de teste de sistema operacional tenta determinar uma estimativa de quão previsível o algoritmo de geração de número de sequência é para um host remoto. Técnicas estatísticas, como o desvio padrão, podem ser usadas para determinar o quão previsível é a geração do número de sequência para um sistema. Esse resultado pode então ser comparado a um banco de dados de comportamentos do sistema operacional para determinar uma correspondência provável para o sistema operacional e a versão.	Baixo
325	Sonda TCP Congestion Control Flag (ECN) Este teste de impressão digital do SO verifica se o host remoto oferece suporte a mensagens de notificação de congestionamento explícito (ECN). O sistema de mensagens ECN foi projetado para permitir que os roteadores notifiquem um host remoto quando estiverem ocorrendo problemas de congestionamento de sinal. As mensagens explícitas de notificação de congestionamento são definidas pela RFC 3168. Diferentes sistemas operacionais e versões podem ou não implementar notificações ECN, ou podem responder exclusivamente a determinados tipos de sinalizadores ECN.	Baixo
326	Teste do tamanho da janela inicial do TCP Esta sonda de impressão digital de SO verifica o tamanho inicial da Janela TCP. As pilhas TCP limitam o intervalo de números sequenciais permitidos dentro de uma sessão para manter o estado "conectado" dentro da lógica do protocolo TCP. O tamanho da janela inicial especifica um intervalo de números sequenciais aceitáveis que se qualificam como resposta a um pacote ACK dentro de uma sessão. Vários sistemas operacionais usam diferentes tamanhos de janela inicial. O tamanho da janela inicial pode ser amostrado ao estabelecer uma conexão TCP comum.	Baixo
327	Probe de opções de TCP Esta sonda de impressão digital do sistema operacional analisa o tipo e a ordem de quaisquer opções de cabeçalho TCP presentes em um segmento de resposta. A maioria dos sistemas operacionais usa ordenação exclusiva e conjuntos de opções diferentes quando as opções estão presentes. O RFC 793 não especifica uma ordem necessária quando as opções estão presentes, portanto, diferentes implementações usam maneiras exclusivas de ordenar ou estruturar as opções TCP. As opções de TCP podem ser geradas por tráfego TCP comum.	Baixo
328	TCP 'RST' Sinalizador Checksum Probe Esta sonda de impressão digital do sistema operacional executa uma soma de verificação em quaisquer dados ASCII contidos na parte de dados ou em um pacote RST. Alguns sistemas operacionais reportarão uma mensagem de texto legível por humanos na carga de um pacote 'RST' (redefinir) quando ocorrerem tipos específicos de erros de conexão. A RFC 1122 permite cargas úteis de texto em pacotes de redefinição, mas nem todos os sistemas operacionais ou roteadores implementam essa funcionalidade.	Baixo
329	Mensagem de erro ICMP Quoting Probe Um adversário usa uma técnica para gerar uma mensagem de erro ICMP (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) a partir de um alvo e, em seguida, analisar a quantidade de dados retornados ou "Quoted" do pedido de origem que gerou a mensagem de erro ICMP.	Baixo
330	Mensagem de erro ICMP Echoing Integrity Probe Um adversário usa uma técnica para gerar uma mensagem de erro ICMP (Port Unreachable, Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem) de um alvo e, em seguida, analisar a integridade dos dados devolvidos ou "Quoted" do pedido de origem que gerou a mensagem de erro.	Baixo
472	Impressão digital do navegador Um invasor cria cuidadosamente pequenos trechos de Java Script para detectar com eficiência o tipo de navegador que a vítima potencial está usando. Muitos ataques baseados na web precisam de conhecimento prévio do navegador da web, incluindo a versão do navegador, para garantir a exploração bem-sucedida de uma vulnerabilidade. Ter esse conhecimento permite que um invasor direcione a vítima com ataques que exploram especificamente fraquezas conhecidas ou de dia zero no tipo e na versão do navegador usado pela vítima. Automatizar esse processo via Java Script como parte do mesmo sistema de entrega usado para explorar o navegador é considerado mais eficiente, pois o invasor pode fornecer um método de impressão digital do navegador e integrá-lo ao código de exploração, tudo contido no Java Script e em resposta ao mesmo solicitação de página da web pelo navegador.	Baixo
497	File Discovery Um adversário se envolve em atividades de sondagem e exploração para determinar se existem arquivos de chave comuns. Esses arquivos geralmente contêm parâmetros de configuração e segurança do aplicativo, sistema ou rede de destino. Usar esse conhecimento pode, muitas vezes, abrir caminho para ataques mais prejudiciais.	Muito fraco
508	Shoulder Surfing Em um ataque de surfe no ombro, um adversário observa as teclas, o conteúdo da tela ou conversas de um indivíduo desconhecido com o objetivo de obter informações sensíveis. Um motivo para este ataque é obter informações sensíveis sobre o alvo para obter ganhos financeiros, pessoais, políticos ou outros. De uma perspectiva de ameaça interna, um motivo adicional poderia ser obter credenciais de sistema/aplicação ou chaves criptográficas. Ataques de surf no ombro são realizados observando o conteúdo "por cima do ombro da vítima", como implícito pelo nome deste ataque.	Alto
573	Process Footprinting Um adversário explora a funcionalidade destinada a identificar informações sobre os processos em execução no sistema de destino para um usuário autorizado. Ao saber quais processos estão sendo executados no sistema de destino, o adversário pode aprender sobre o ambiente de destino como um meio para mais comportamento malicioso.	Baixo
574	Services Footprinting Um adversário explora a funcionalidade destinada a identificar informações sobre os serviços no sistema alvo para um usuário autorizado. Ao saber quais serviços estão registrados no sistema alvo, o adversário pode aprender sobre o ambiente alvo como um meio para um comportamento malicioso adicional. Dependendo do sistema operacional, os comandos que podem obter informações sobre os serviços incluem "sc" e "tasklist/svc" usando a Tasklist, e "net start" usando a Net.	Baixo
575	Footprinting da conta Um adversário explora funcionalidades destinadas a identificar informações sobre as contas do domínio e suas permissões no sistema alvo para um usuário autorizado. Ao saber quais contas estão registradas no sistema alvo, o adversário pode informar mais e mais sobre o comportamento malicioso alvo. Exemplos de comandos do Windows que podem adquirir esta informação são: "net user" e "dsquery".	Baixo
576	Group Permission Footprinting Um adversário explora a funcionalidade destinada a identificar informações sobre grupos de usuários e suas permissões no sistema alvo para um usuário autorizado. Ao saber quais usuários/permissões estão registrados no sistema alvo, o adversário pode informar mais e mais sobre comportamentos maliciosos direcionados. Um exemplo de comando do Windows que pode listar grupos locais é o "net localgroup".	Baixo
577	Owner Footprinting Um adversário explora a funcionalidade destinada a identificar informações sobre os usuários primários no sistema alvo para um usuário autorizado. Eles podem fazer isso, por exemplo, revendo logins ou tempos de modificação de arquivos. Ao saber quais proprietários usam o sistema alvo, o adversário pode informar mais e mais o comportamento malicioso alvo. Um exemplo de comando do Windows que pode fazer isso é "dir /A ntuser.dat". Que mostrará o último tempo modificado do arquivo ntuser.dat de um usuário quando executado dentro da pasta raiz de um usuário. Este tempo é sinônimo da última vez que esse usuário fez o login.	Baixo
59	Sessão de Falsificação de Credenciais através de Previsão Este ataque tem como alvo uma identificação previsível da sessão para ganhar privilégios. O atacante pode prever o ID da sessão usada durante uma transação para realizar falsificações e seqüestros de sessão. O atacante interage com o host alvo e descobre que os IDs de sessão são usados para autenticar usuários. [Characterize IDs] O atacante estuda as características do ID da sessão (tamanho, formato, etc.). Como resultado, o atacante descobre que os IDs de sessão legítimos são previsíveis. O atacante força diferentes valores de IDs de sessão e consegue prever um ID de sessão válido. O atacante usa o ID de sessão falsificado para acessar o sistema alvo.	Alto
60	Reutilização de IDs de sessão (aka Session Replay) Este ataque visa a reutilização de um ID de sessão válido para falsificar o sistema alvo, a fim de ganhar privilégios. O atacante tenta reutilizar um ID de sessão roubado usado anteriormente durante uma transação para realizar falsificação e seqüestro de sessão. Outro nome para este tipo de ataque é Session Replay. O atacante interage com o host alvo e descobre que os IDs de sessão são usados para autenticar usuários. O atacante rouba um ID de sessão de um usuário válido. O atacante tenta usar o ID da sessão roubada para obter acesso ao sistema com os privilégios do proprietário original do ID da sessão.	Alto
616	Estabelecer localização não autorizada Um adversário fornece uma versão maliciosa de um recurso em um local semelhante ao local esperado de um recurso legítimo. Depois de estabelecer o local invasor, o adversário espera que a vítima visite o local e acesse o recurso malicioso.	Média
643	Identificar arquivos / diretórios compartilhados no sistema Um adversário descobre conexões entre sistemas explorando a prática padrão do sistema alvo de revelá-las em áreas comuns pesquisáveis. Através da identificação de pastas / drives compartilhados entre sistemas, o adversário pode promover seus objetivos de localizar e coletar informações / arquivos confidenciais ou mapear rotas potenciais para movimento lateral dentro da rede.	Média
646	Peripheral Footprinting Os adversários podem tentar obter informações sobre dispositivos periféricos anexados e componentes conectados a um sistema de computador. Os exemplos podem incluir descobrir a presença de dispositivos iOS procurando backups, analisando o registro do Windows para determinar quais dispositivos USB foram conectados ou infectando o sistema da vítima com malware para relatar quando um dispositivo USB foi conectado. Isso pode permitir que o adversário obtenha informações adicionais sobre o sistema ou ambiente de rede, o que pode ser útil na construção de outros ataques.	Média
651	Eavesdropping Um adversário intercepta uma forma de comunicação (por exemplo, texto, áudio, vídeo) por meio de software (por exemplo, microfone e aplicativo de gravação de áudio), hardware (por exemplo, equipamento de gravação) ou meio físico (por exemplo, proximidade física). O objetivo da espionagem é normalmente obter acesso não autorizado a informações confidenciais sobre o alvo para ganhos financeiros, pessoais, políticos ou outros. A escuta secreta é diferente de um ataque de detecção, pois não ocorre em um canal de comunicação baseado em rede (por exemplo, tráfego IP). Em vez disso, envolve ouvir a fonte de áudio bruto de uma conversa entre duas ou mais partes.	Média
79	Usando Slashes em Codificação Alternativa Este ataque tem como alvo a codificação dos caracteres Slash. Um adversário tentaria explorar problemas comuns de filtragem relacionados com o uso dos caracteres Slash para obter acesso a recursos no hospedeiro alvo. Os sistemas guiados por directórios, tais como sistemas de ficheiros e bases de dados, tipicamente utilizam o carácter cortante para indicar a passagem entre directórios ou outros componentes do contentor. Por razões históricas obscuras, os PCs (e, como resultado, os sistemas operacionais da Microsoft) optam por usar uma barra invertida, enquanto o mundo UNIX tipicamente faz uso da barra invertida para frente. O resultado esquizofrênico é que muitos sistemas baseados em MS são necessários para entender ambas as formas da barra. Isto dá ao adversário muitas oportunidades para descobrir e abusar de uma série de problemas de filtragem comuns. O objetivo deste padrão é descobrir software de servidor que só aplica filtros a uma versão, mas não à outra. Usando um navegador, uma ferramenta automatizada ou inspecionando a aplicação, um adversário registra todos os pontos de entrada na aplicação. O adversário usa os pontos de entrada reunidos na fase "Explorar" como uma lista de destino e procura áreas onde o input do usuário é usado para acessar recursos no host de destino. O adversário tenta diferentes codificações de caracteres slash para contornar os filtros de entrada. Uma vez que o adversário determina como contornar filtros que filtram caracteres barra, ele irá manipular a entrada do usuário para incluir barras para atravessar diretórios e acessar recursos que não são destinados ao usuário.	Alto

MITRE

Técnicas

id	descrição
T1007	Sistema de Descoberta de Serviços
T1016	Descoberta da configuração da rede do sistema
T1018	Descoberta remota do sistema
T1033	Proprietário do sistema/utilizador Discovery
T1036.005	Mascarada: Corresponder Nome Legítimo ou Localização
T1046	Digitalização de serviços de rede
T1049	Descoberta das ligações de rede do sistema
T1057	Processo de Descoberta
T1069	Descoberta de Grupos de Permissões
T1082	Sistema de Descoberta de Informação
T1083	Descoberta de ficheiros e directórios
T1087	Descoberta de conta
T1111	Intercepção de Autenticação Multi-Factor
T1120	Descoberta de Dispositivos Periféricos
T1124	Sistema de Descoberta do Tempo
T1134.001	Manipulação de Tokens de Acesso:Impressão/roubo de Tokens
T1135	Descoberta de Partilha de Rede
T1217	Browser Bookmark Discovery
T1550.004	Utilizar Material de Autenticação Alternativa:Cookie de Sessão Web
T1562.003	Defesas de Imparidade:Registo da História do Comando de Imparidade
T1574.006	Hijack Execution Flow:Hijacking Dynamic Linker
T1574.007	Hijack Execution Flow:Intercepção de Caminho por Variável de Ambiente PATH
T1590	Reunir informação sobre a Rede de Vítimas
T1592	Reunir informações sobre o anfitrião da vítima
T1595	Digitalização activa
T1615	Descoberta da Política de Grupo
© 2022 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da Corporação MITRE.

Mitigações

id	descrição
T1036.005
T1046
T1087	Impedir a enumeração de contas de administrador quando uma aplicação é elevada através de UAC, uma vez que pode levar à divulgação de nomes de contas. A chave do Registo está localizada <código>HKLM³ SOFTWAREMicrosoft³Windows³CurrentVersion³Policies³CredUI³EnumerateAdministrators</code>. Pode ser desactivado através de GPO: Configuração do computador > [Políticas] > Modelos Administrativos > Componentes do Windows > Interface do utilizador credencial: E numerar contas de administrador na elevação.
T1111	Remover os cartões inteligentes quando não estiverem a ser utilizados.
T1134.001	Um adversário já deve ter acesso ao nível de administrador no sistema local para fazer pleno uso desta técnica; certifique-se de restringir os utilizadores e as contas aos privilégios mínimos de que necessitam.
T1135	Activar a Política de Grupo do Windows "Não Permitir a Contabilização Anónima de Contas e Acções SAM" para limitar os utilizadores que podem enumerar as acções da rede.
T1550.004
T1562.003	Certifique-se de que a variável <código>HISTCONTROL</código>ambiente está definida para "ignorados" em vez de "ignorados" ou "ignorados".
T1574.006	Quando a Protecção da Integridade do Sistema (SIP) é activada em macOS, as variáveis de ambiente acima mencionadas são ignoradas ao executar os binários protegidos. Aplicações de terceiros podem também aproveitar o tempo de execução endurecido da Apple, assegurando que estas variáveis de ambiente estão sujeitas a restrições impostas. Os administradores podem adicionar restrições às aplicações definindo os setuid e/ou setgid bits, usar direitos, ou ter um segmento __RESTRICT no binário Mach-O.
T1574.007
T1590	Esta técnica não pode ser facilmente mitigada com controlos preventivos, uma vez que se baseia em comportamentos realizados fora do âmbito das defesas e controlos da empresa. Os esforços devem concentrar-se na minimização da quantidade e sensibilidade dos dados disponíveis para as partes externas.
T1592	Esta técnica não pode ser facilmente mitigada com controlos preventivos, uma vez que se baseia em comportamentos realizados fora do âmbito das defesas e controlos da empresa. Os esforços devem concentrar-se na minimização da quantidade e sensibilidade dos dados disponíveis para as partes externas.
T1595	Esta técnica não pode ser facilmente mitigada com controlos preventivos, uma vez que se baseia em comportamentos realizados fora do âmbito das defesas e controlos da empresa. Os esforços devem concentrar-se na minimização da quantidade e sensibilidade dos dados disponíveis para as partes externas.
© 2022 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da Corporação MITRE.

Sherlock® flash

Tire uma foto da sua rede informática em poucos cliques !

A solução de auditoria Sherlock® flash permite-lhe realizar uma auditoria para reforçar a segurança dos seus activos informáticos. Vulnerabilidade do seu equipamento físico e virtual. Planeamento de correcções por nível de prioridade e tempo disponível. Relatórios detalhados e intuitivos.

Descubra esta oferta

Sherlock® flash: 1ª solução instantânea de auditoria cibernética de segurança