sexta-feira, 30 de setembro de 2016

SHODAN - Mais um (bom) motivo para manter SharePoint atualizado




O SHODAN é um serviço de pesquisa com a finalidade de expor dispositivos online e foi nomeado como SHODAN (Sentient Hyper-Optimized Data Access Network) em homenagem a uma inteligência artificial ficcional de um RPG de ação chamado "System Shock".

Ela foi hackeada pelo protagonista do jogo e para acessar as informações vitais sobre uma corporação as suas restrições éticas foram removidas.



O serviço rastreia a internet e indexa dispositivos e sistemas informáticos como, por exemplo, os sites do produto SharePoint publicados na internet. Para identificar as páginas do SharePoint no Shodan precisamos conhecer os campos de reposta do cabeçalho HTTP.

Os campos de reposta do cabeçalho HTTP padrão do SharePoint contem as seguintes informações:


Content-Length: 236673
Content-Type: text/html; charset=utf-8
MicrosoftSharePointTeamServices: versão do servidor SharePoint.
request-id: Correlação
SPIisLatency: 0
SPRequestDuration: 933
SPRequestGuid: Correlação
X-AspNet-Version: Versão do ASP.NET
X-Content-Type-Options: nosniff
X-FRAME-OPTIONS: SAMEORIGIN
X-MS-InvokeApp: 1; RequireReadOnly
X-Powered-By: ASP.NET
X-SharePointHealthScore: 0

A partir dessas informações podemos localizar com uma consulta simples como, por exemplo: MicrosoftSharePointTeamServices Country=BR os servidores SharePoint em um determinado país.

Na imagem abaixo, foi identificado um servidor na versão 6.0.2.6568 (WSS 2.0) que está sem atualizações de segurança desde a data 14.01.2014 (Microsoft Support Lifecycle).


Qualquer pessoa com o conhecimento necessário, consegue identificar vulnerabilidades conhecidas a partir dessas informações e comprometer o funcionamento dessas sistemas. Por isso, entre outros motivos, devemos manter os ambiente sempre atualizados.

Observação:

Uma possibilidade para melhorar a segurança desses ambientes é customizar o cabeçalho, removendo as informações comprometedoras. Stefan Goßner, engenheiro de escalação do SharePoint na Microsoft explica nesse artigo como criar um módulo .NET para substituir o cabeçalho padrão: IIS 7 - How to send a custom "Server" http header.

Fontes:
IIS 7 - How to send a custom "Server" http header
Security Bulletins
Microsoft Support Lifecycle
SharePoint Mythbusting: The response header contains the current SharePoint version
Shodan (website)
Lista de campos de cabeçalho HTTP