1. inleiding
Maatskappye wat nie afstandtoegangstelsels in plek gehad het nie, het dit 'n paar maande gelede dringend ontplooi. Nie alle administrateurs was voorbereid op so 'n "hitte", wat gelei het tot sekuriteitsverval: verkeerde opstelling van dienste of selfs installering van verouderde weergawes van sagteware met voorheen ontdekte kwesbaarhede. Vir sommige het hierdie weglatings reeds geboemerang, ander was meer gelukkig, maar almal moet beslis gevolgtrekkings maak. Lojaliteit aan afstandwerk het eksponensieel toegeneem, en meer en meer maatskappye aanvaar deurlopend afstandwerk as 'n aanvaarbare formaat.
Daar is dus baie opsies om afstandtoegang te verskaf: verskeie VPN’s, RDS en VNC, TeamViewer en ander. Administrateurs het baie om van te kies, gebaseer op die besonderhede van die bou van 'n korporatiewe netwerk en toestelle daarin. VPN-oplossings bly die gewildste, maar baie klein ondernemings kies RDS (Remote Desktop Services), dit is eenvoudiger en vinniger om te ontplooi.
In hierdie artikel sal ons meer praat oor RDS-sekuriteit. Kom ons maak 'n kort oorsig van bekende kwesbaarhede, en oorweeg ook verskeie scenario's om 'n aanval te loods op 'n netwerkinfrastruktuur gebaseer op Active Directory. Ons hoop dat ons artikel iemand sal help om aan foute te werk en sekuriteit te verbeter.
2. Onlangse RDS/RDP-kwesbaarhede
Enige sagteware bevat foute en kwesbaarhede wat deur aanvallers uitgebuit kan word, en RDS is geen uitsondering nie. Microsoft het die afgelope tyd gereeld nuwe kwesbaarhede gerapporteer, so ons het besluit om hulle 'n kort oorsig te gee:
Hierdie kwesbaarheid stel gebruikers in gevaar wat aan 'n gekompromitteerde bediener koppel. 'n Aanvaller kan beheer oor 'n gebruiker se toestel kry of 'n vastrapplek in die stelsel kry om permanente afstandtoegang te hê.
- / /
Hierdie groep kwesbaarhede laat 'n ongeverifieerde aanvaller toe om op 'n afstand arbitrêre kode uit te voer op 'n bediener wat RDS gebruik deur 'n spesiaal vervaardigde versoek te gebruik. Hulle kan ook gebruik word om wurms te skep—wanware wat onafhanklik naburige toestelle op die netwerk besmet. Hierdie kwesbaarhede kan dus die hele maatskappy se netwerk in gevaar stel, en slegs tydige opdaterings kan dit red.
Afstandtoegangsagteware het meer aandag van beide navorsers en aanvallers gekry, so ons sal dalk binnekort van meer soortgelyke kwesbaarhede hoor.
Die goeie nuus is dat nie alle kwesbaarhede openbare misbruik beskikbaar het nie. Die slegte nuus is dat dit nie moeilik sal wees vir 'n aanvaller met kundigheid om 'n uitbuiting vir 'n kwesbaarheid op grond van die beskrywing te skryf, of om tegnieke soos Patch Diffing te gebruik nie (ons kollegas het daaroor geskryf in ). Daarom beveel ons aan dat jy gereeld die sagteware opdateer en die voorkoms van nuwe boodskappe oor ontdekte kwesbaarhede monitor.
3. Aanvalle
Ons gaan aan na die tweede deel van die artikel, waar ons sal wys hoe aanvalle op netwerkinfrastruktuur gebaseer op Active Directory begin.
Die beskryfde metodes is van toepassing op die volgende aanvallermodel: 'n aanvaller wat 'n gebruikersrekening het en toegang het tot die Remote Desktop Gateway - 'n terminale bediener (dikwels is dit toeganklik, byvoorbeeld, vanaf 'n eksterne netwerk). Deur hierdie metodes te gebruik, sal die aanvaller in staat wees om die aanval op die infrastruktuur voort te sit en sy teenwoordigheid op die netwerk te konsolideer.
Die netwerkkonfigurasie in elke spesifieke geval kan verskil, maar die beskryfde tegnieke is redelik universeel.
Voorbeelde van die verlaat van 'n beperkte omgewing en die verhoging van voorregte
Wanneer 'n aanvaller toegang tot die Remote Desktop Gateway kry, sal 'n aanvaller waarskynlik 'n soort beperkte omgewing teëkom. Wanneer jy aan 'n terminale bediener koppel, word 'n toepassing daarop geloods: 'n venster vir koppeling via die Remote Desktop-protokol vir interne hulpbronne, Explorer, kantoorpakkette of enige ander sagteware.
Die aanvaller se doel sal wees om toegang te kry om opdragte uit te voer, dit wil sê om cmd of powershell te begin. Verskeie klassieke Windows-sandbox-ontsnaptegnieke kan hiermee help. Kom ons oorweeg hulle verder.
Opsie 1. Die aanvaller het toegang tot die Remote Desktop-verbindingsvenster binne die Remote Desktop Gateway:
Die "Wys opsies"-kieslys word oopgemaak. Opsies verskyn vir die manipulering van verbindingkonfigurasielêers:
Vanuit hierdie venster kan jy maklik toegang tot Explorer verkry deur enige van die "Open" of "Stoor" knoppies te klik:
Explorer maak oop. Die "adresbalk" daarvan maak dit moontlik om toegelate uitvoerbare lêers te begin, sowel as om die lêerstelsel te lys. Dit kan nuttig wees vir 'n aanvaller in gevalle waar stelselaandrywers versteek is en nie direk toegang verkry kan word nie:
→
'n Soortgelyke scenario kan byvoorbeeld weergegee word wanneer Excel vanaf die Microsoft Office-pakket as afgeleë sagteware gebruik word.
→
Moet ook nie vergeet van die makro's wat in hierdie kantoorpakket gebruik word nie. Ons kollegas het gekyk na die probleem van makrosekuriteit hierin .
Opsie 2. Deur dieselfde insette as in die vorige weergawe te gebruik, begin die aanvaller verskeie verbindings na die afgeleë lessenaar onder dieselfde rekening. Wanneer jy weer koppel, sal die eerste een toegemaak word, en 'n venster met 'n foutkennisgewing sal op die skerm verskyn. Die hulpknoppie in hierdie venster sal Internet Explorer op die bediener oproep, waarna die aanvaller na Explorer kan gaan.
→
Opsie 3. As beperkings op die begin van uitvoerbare lêers opgestel is, kan 'n aanvaller 'n situasie teëkom waar groepbeleide die administrateur verbied om cmd.exe te laat loop.
Daar is 'n manier om dit te omseil deur 'n vlermuislêer op die afgeleë lessenaar uit te voer met inhoud soos cmd.exe /K <opdrag>. 'n Fout wanneer cmd begin word en 'n suksesvolle voorbeeld van die uitvoering van 'n vlermuislêer word in die figuur hieronder getoon.
Opsie 4. Om die bekendstelling van toepassings te verbied met swartlyste gebaseer op die naam van uitvoerbare lêers is nie 'n wondermiddel nie; dit kan omseil word.
Oorweeg die volgende scenario: ons het toegang tot die opdragreël gedeaktiveer, die bekendstelling van Internet Explorer en PowerShell verhinder deur groepbeleide te gebruik. Die aanvaller probeer hulp ontbied – geen reaksie nie. Probeer om powershell te begin deur die kontekskieslys van 'n modale venster, geroep met die Shift-sleutel gedruk - 'n boodskap wat aandui dat bekendstelling deur die administrateur verbied word. Probeer om powershell deur die adresbalk te begin - weer geen reaksie nie. Hoe om die beperking te omseil?
Dit is genoeg om powershell.exe van die C:WindowsSystem32WindowsPowerShellv1.0-lêergids na die gebruikerslêergids te kopieer, die naam na iets anders as powershell.exe te verander, en die bekendstellingsopsie sal verskyn.
By verstek, wanneer u aan 'n afgeleë werkskerm koppel, word toegang tot die kliënt se plaaslike skywe verskaf, vanwaar 'n aanvaller powershell.exe kan kopieer en dit kan laat loop nadat dit hernoem is.
→
Ons het net 'n paar maniere gegee om die beperkings te omseil; jy kan met baie meer scenario's vorendag kom, maar hulle het almal een ding in gemeen: toegang tot Windows Explorer. Daar is baie toepassings wat standaard Windows lêer manipulasie gereedskap gebruik, en wanneer dit in 'n beperkte omgewing geplaas word, kan soortgelyke tegnieke gebruik word.
4. Aanbevelings en gevolgtrekking
Soos ons kan sien, is daar selfs in 'n beperkte omgewing ruimte vir aanvalontwikkeling. Jy kan egter die lewe vir die aanvaller moeiliker maak. Ons verskaf algemene aanbevelings wat nuttig sal wees in die opsies wat ons oorweeg het en in ander gevalle.
- Beperk programbekendstellings tot swart/wit lyste deur groepbeleide te gebruik.
In die meeste gevalle bly dit egter moontlik om die kode te laat loop. Ons beveel aan dat jy jouself vergewis van die projek , om 'n idee te hê van ongedokumenteerde maniere om lêers te manipuleer en kode op die stelsel uit te voer.
Ons beveel aan om beide tipes beperkings te kombineer: jy kan byvoorbeeld die bekendstelling van uitvoerbare lêers wat deur Microsoft onderteken is, toelaat, maar die bekendstelling van cmd.exe beperk. - Deaktiveer Internet Explorer-instellingsoortjies (kan plaaslik in die register gedoen word).
- Deaktiveer Windows ingeboude hulp via regedit.
- Deaktiveer die vermoë om plaaslike skywe vir afgeleë verbindings te monteer as so 'n beperking nie krities vir gebruikers is nie.
- Beperk toegang tot plaaslike aandrywers van die afgeleë masjien, en laat slegs toegang tot gebruikersvouers.
Ons hoop jy het dit ten minste interessant gevind, en hoogstens sal hierdie artikel help om jou onderneming se afgeleë werk veiliger te maak.
Bron: will.com