Die Entdeckung, dass die Ports 135 und 137 auf einem Zielsystem geöffnet sind Dienstleistungen und potenziell Anfälligkeiten an. Lassen Sie uns aufschlüsseln, was diese Ports bedeuten:
* Port 135 (RPC -Endpoint Mapper): Dies ist der primäre Port für den RPC -Dienst (Remote Procedure Call) in Windows. RPC ist ein Mechanismus, mit dem Anwendungen auf verschiedenen Computern miteinander kommunizieren können. Ein offener Port 135 bedeutet, dass das System RPC -Anforderungen akzeptiert und möglicherweise zahlreiche Dienste enthält, je nachdem, welche Dienste ausgeführt werden, und für die Verwendung von RPC konfiguriert werden. Dies ist ein erhebliches Sicherheitsbedenken, da Angreifer es verwenden können, um andere offene Dienste aufzuzählen und möglicherweise Schwachstellen in diesen Diensten auszunutzen.
* Port 137 (NetBIOS -Name Service): Dieser Port wird vom NetBIOS -Namensdienst verwendet, der auch hauptsächlich mit Windows zugeordnet ist. NetBIOS ist ein Netzwerkprotokoll, mit dem Computernamen in IP -Adressen in einem lokalen Netzwerk behoben werden können. Obwohl es von Natur aus ein großes Sicherheitsrisiko für sich selbst ist, bedeutet seine Anwesenheit häufig ein Windows -System und hilft den Angreifern, ihr Ziel zu bestätigen. Darüber hinaus kann es in Verbindung mit anderen Tools verwendet werden, um weitere Informationen über das Netzwerk zu sammeln.
Implikationen für einen Angreifer:
Das Finden dieser Ports offen ermöglicht es einem Angreifer:
* Aufzählungsdienste: Verwenden Sie Tools wie `rpcinfo` (unter Linux/UNIX -Systemen) oder andere RPC -Aufzählungstools, um andere Dienste zu ermitteln, die auf dem System ausgeführt werden, die RPC verwenden. Dies könnte Dienste mit bekannten Schwachstellen aufdecken.
* Startangriffe gegen bestimmte Dienste: Sobald andere Dienste identifiziert sind, kann der Angreifer bekannte Schwachstellen in diesen Diensten recherchieren und nutzen (z. B. Schwachstellen in bestimmten RPC-basierten Anwendungen wie Samba, wenn es auf einem Nicht-Windows-System ausgeführt wird).
* Netzwerkinformationen gewinnen: Port 137 kann in Verbindung mit anderen Tools verwendet werden, um das Netzwerk abzubilden und andere Geräte zu identifizieren.
* Weitere Aufklärung durchführen: Diese erste Entdeckung hilft dem Angreifer, seine Angriffsstrategie zu verfeinern.
Minderung:
Systemadministratoren sollten:
* unnötige Dienste deaktivieren: Führen Sie nur die für die Funktion des Systems erforderlichen Dienste aus.
* Systeme fügen Sie gepatcht: Wenden Sie regelmäßig Sicherheitsaktualisierungen auf Patch bekannte Schwachstellen in RPC und anderen Diensten an.
* Netzwerkzugriff einschränken: Verwenden Sie Firewalls, um den Zugriff auf die Ports 135 und 137 aus nicht vertrauenswürdigen Netzwerken zu begrenzen.
* Intrusion Detection/Prevention Systems (IDS/IPS) implementieren: Diese können böswillige Aktivitäten erkennen und blockieren, die auf diese Ports abzielen.
* Prinzip des geringsten Privilegs: Führen Sie Dienstleistungen mit den erforderlichen Mindestberechtigungen aus.
Kurz gesagt, die Entdeckung von Ports 135 und 137 Open ist eine bedeutende rote Fahne der Sicherheit und sollte sofort untersucht und behoben werden. Es erhöht das Risiko eines erfolgreichen Angriffs erheblich.
