Null Session

aus Wikipedia, der freien Enzyklopädie

Eine Null Session ist eine Sitzung mit einem Server, welche ohne Authentisierung des Nutzers auskommt. Damit erlangt dieser Nutzer einen anonymen Zugang zum jeweiligen Dienst des Servers. Sie wird zum Beispiel erstellt, wenn ein Computer Informationen über einen anderen Computer benötigt, jedoch keine herkömmliche Anmeldung mit Benutzernamen und Passwort in Frage kommt.

Der Computer, oder auch ein Benutzer verbindet sich zu einem entfernten Dienst und nutzt diesen anonym, also ohne vorhergehende Authentifizierung. Eine solche Sitzung erlaubt es damit einem unbekannten Nutzer, Informationen über das Computersystem zu sammeln.

Der Windows-Explorer ist so z. B. in der Lage, die Dateifreigaben fremder Rechner zu erfassen. Da bei einem fremden System oft kein Benutzername und Passwort genutzt werden kann, erfolgt dies über den Aufbau einer Null Session mit dem SYSTEM-Account. Dies ist ein Standard-Account mit sehr weitgehenden Rechten, der auf jedem Windows-Computer vorhanden ist. Viele lokale sicherheitsrelevante Dienste laufen mit diesem Account.

Der Aufbau einer Null Session unter Windows bedeutet, dass ein Token vorgezeigt wird, welches einen Nutzer ANONYMOUS LOGON und eine Gruppe Everyone enthält. Damit erhält der Nutzer bei diesem Dienst die Rechte, die dieser Gruppe und diesem Nutzer zugeordnet sind. Viele Einstellungen auf vielen Windows-Rechnern sind jedoch zu weit gefasst. So wird beim Einrichten einer Freigabe oft achtlos „Everyone“ der Zugriff erlaubt. Richtig wäre in den meisten Fällen die Gruppe Authenticated Users. Diese enthält nur die Nutzer, welche sich mit Nutzernamen und Passwort angemeldet haben.

Null Sessions sind oft Angriffspunkte für Hacker, welche einen Zugang zu einem Rechner erlangen wollen. Sie erlauben es z. B. die Nutzer-Accounts aufzulisten, womit ggf. die Anmeldenamen der Nutzer oder weitergehende Informationen wie die Zugehörigkeit zu bestimmten Gruppen (Administrator) oder aktuelle Sicherheitseinstellungen in die Hände des Hackers fallen. Diese Informationen können zur Auswahl potentieller Angriffsziele dienen.

Angriffe auf Windows-Rechner über Null Sessions sind für Windows NT/Windows 2000 bekannt. Mit jeder Windows-Generation werden die Möglichkeiten reduziert, stehen weniger API-Funktionen für unauthentisierte Nutzer zur Verfügung. Dennoch sind auch bei Windows Vista SP1 Angriffe über Null Sessions möglich.

Weblinks