1. .ведение
الشركات التي لم يكن لديها أنظمة وصول عن بعد قامت بنشرها بشكل عاجل منذ شهرين. لم يكن جميع المسؤولين مستعدين لمثل هذه "السخونة"، مما أدى إلى ثغرات أمنية: تكوين غير صحيح للخدمات أو حتى تثبيت إصدارات قديمة من البرامج مع نقاط الضعف المكتشفة مسبقًا. بالنسبة للبعض، فإن هذه الإغفالات قد ارتدت بالفعل، وكان البعض الآخر أكثر حظا، ولكن يجب على الجميع بالتأكيد استخلاص النتائج. لقد زاد الولاء للعمل عن بعد بشكل كبير، وأصبح المزيد والمزيد من الشركات تقبل العمل عن بعد كشكل مقبول على أساس مستمر.
لذلك، هناك العديد من الخيارات لتوفير الوصول عن بعد: شبكات VPN المختلفة، RDS وVNC، برنامج TeamViewer وغيرها. يتوفر للمسؤولين الكثير للاختيار من بينها، استنادًا إلى تفاصيل بناء شبكة الشركة والأجهزة الموجودة فيها. تظل حلول VPN هي الأكثر شيوعًا، ومع ذلك، تختار العديد من الشركات الصغيرة RDS (خدمات سطح المكتب البعيد)، فهي أبسط وأسرع في النشر.
في هذه المقالة سنتحدث أكثر عن أمان RDS. دعونا نلقي نظرة عامة مختصرة على نقاط الضعف المعروفة، ونفكر أيضًا في عدة سيناريوهات لبدء هجوم على البنية التحتية للشبكة استنادًا إلى Active Directory. نأمل أن تساعد مقالتنا شخصًا ما في العمل على حل الأخطاء وتحسين الأمان.
2. نقاط الضعف الأخيرة في RDS/RDP
يحتوي أي برنامج على أخطاء ونقاط ضعف يمكن استغلالها من قبل المهاجمين، وRDS ليست استثناءً. لقد أبلغت Microsoft بشكل متكرر عن ثغرات أمنية جديدة مؤخرًا، لذلك قررنا أن نقدم لهم نظرة عامة مختصرة:
تعرض مشكلة عدم الحصانة هذه المستخدمين الذين يتصلون بخادم مخترق للخطر. يمكن للمهاجم التحكم في جهاز المستخدم أو الحصول على موطئ قدم في النظام للوصول الدائم عن بعد.
- / /
تسمح مجموعة الثغرات الأمنية هذه للمهاجم غير المصادق بتنفيذ تعليمات برمجية عشوائية عن بعد على خادم يقوم بتشغيل RDS باستخدام طلب معد خصيصًا. ويمكن استخدامها أيضًا لإنشاء فيروسات متنقلة، وهي برامج ضارة تصيب الأجهزة المجاورة على الشبكة بشكل مستقل. وبالتالي، يمكن أن تعرض نقاط الضعف هذه شبكة الشركة بأكملها للخطر، ولا يمكن إنقاذها إلا من خلال التحديثات في الوقت المناسب.
وقد حظيت برامج الوصول عن بعد باهتمام متزايد من كل من الباحثين والمهاجمين، لذلك قد نسمع قريبًا عن المزيد من نقاط الضعف المماثلة.
والخبر السار هو أنه ليس كل الثغرات الأمنية لديها ثغرات عامة متاحة. الخبر السيئ هو أنه لن يكون من الصعب على المهاجم الذي يتمتع بالخبرة أن يكتب استغلالًا لثغرة أمنية بناءً على الوصف، أو باستخدام تقنيات مثل Patch Diffing (كتب زملاؤنا عن ذلك في ). ولذلك، نوصي بتحديث البرنامج بانتظام ومراقبة ظهور رسائل جديدة حول الثغرات الأمنية المكتشفة.
3. الهجمات
ننتقل إلى الجزء الثاني من المقالة، حيث سنوضح كيف تبدأ الهجمات على البنية التحتية للشبكة بناءً على Active Directory.
تنطبق الأساليب الموصوفة على نموذج المهاجم التالي: مهاجم لديه حساب مستخدم ولديه حق الوصول إلى بوابة سطح المكتب البعيد - خادم طرفي (غالبًا ما يمكن الوصول إليه، على سبيل المثال، من شبكة خارجية). وباستخدام هذه الأساليب، سيتمكن المهاجم من مواصلة الهجوم على البنية التحتية وتعزيز تواجده على الشبكة.
قد يختلف تكوين الشبكة في كل حالة محددة، ولكن التقنيات الموصوفة عالمية تمامًا.
أمثلة على ترك بيئة مقيدة وزيادة الامتيازات
عند الوصول إلى بوابة سطح المكتب البعيد، من المحتمل أن يواجه المهاجم نوعًا من البيئة المقيدة. عند الاتصال بخادم طرفي، يتم تشغيل تطبيق عليه: نافذة للاتصال عبر بروتوكول Remote Desktop للموارد الداخلية أو Explorer أو حزم Office أو أي برنامج آخر.
سيكون هدف المهاجم هو الوصول إلى تنفيذ الأوامر، أي تشغيل cmd أو powershell. يمكن أن تساعد العديد من تقنيات الهروب الكلاسيكية في وضع الحماية لنظام التشغيل Windows في هذا الأمر. دعونا نفكر فيها أكثر.
الخيار 1. يتمتع المهاجم بإمكانية الوصول إلى نافذة الاتصال بسطح المكتب البعيد داخل بوابة سطح المكتب البعيد:
تفتح قائمة "إظهار الخيارات". تظهر الخيارات لمعالجة ملفات تكوين الاتصال:
من هذه النافذة يمكنك الوصول بسهولة إلى Explorer بالنقر فوق أي من الأزرار "فتح" أو "حفظ":
يفتح المستكشف. يتيح "شريط العناوين" الخاص به إمكانية تشغيل الملفات القابلة للتنفيذ المسموح بها، بالإضافة إلى قائمة نظام الملفات. يمكن أن يكون هذا مفيدًا للمهاجم في الحالات التي تكون فيها محركات أقراص النظام مخفية ولا يمكن الوصول إليها مباشرة:
→
يمكن تكرار سيناريو مماثل، على سبيل المثال، عند استخدام Excel من مجموعة Microsoft Office كبرنامج عن بعد.
→
بالإضافة إلى ذلك، لا تنس وحدات الماكرو المستخدمة في مجموعة المكتب هذه. نظر زملائنا في مشكلة الأمن الكلي في هذا .
الخيار 2. باستخدام نفس المدخلات كما في الإصدار السابق، يقوم المهاجم بإطلاق عدة اتصالات إلى سطح المكتب البعيد ضمن نفس الحساب. عند إعادة الاتصال، سيتم إغلاق الأول، وستظهر نافذة بها إشعار خطأ على الشاشة. سيقوم زر المساعدة الموجود في هذه النافذة باستدعاء Internet Explorer على الخادم، وبعد ذلك يمكن للمهاجم الانتقال إلى Explorer.
→
الخيار 3. إذا تم تكوين قيود على تشغيل الملفات القابلة للتنفيذ، فقد يواجه المهاجم موقفًا حيث تمنع سياسات المجموعة المسؤول من تشغيل cmd.exe.
هناك طريقة للتغلب على ذلك عن طريق تشغيل ملف Bat على سطح المكتب البعيد بمحتوى مثل cmd.exe /K <command>. يظهر خطأ عند بدء تشغيل cmd ويظهر في الشكل أدناه مثال ناجح لتنفيذ ملف بات.
الخيار 4. إن حظر تشغيل التطبيقات باستخدام القوائم السوداء بناءً على أسماء الملفات القابلة للتنفيذ ليس حلاً سحريًا، بل يمكن التحايل عليه.
خذ بعين الاعتبار السيناريو التالي: قمنا بتعطيل الوصول إلى سطر الأوامر، ومنعنا تشغيل Internet Explorer وPowerShell باستخدام سياسات المجموعة. يحاول المهاجم طلب المساعدة - لا يوجد رد. محاولة تشغيل بوويرشيل من خلال قائمة السياق الخاصة بنافذة مشروطة، يتم الاتصال بها مع الضغط على مفتاح Shift - وهي رسالة تشير إلى أن الإطلاق محظور من قبل المسؤول. يحاول تشغيل بوويرشيل من خلال شريط العناوين - مرة أخرى لا توجد استجابة. كيفية تجاوز التقييد؟
يكفي نسخ powershell.exe من المجلد C:WindowsSystem32WindowsPowerShellv1.0 إلى مجلد المستخدم، وتغيير الاسم إلى شيء آخر غير powershell.exe، وسيظهر خيار التشغيل.
افتراضيًا، عند الاتصال بسطح مكتب بعيد، يتم توفير الوصول إلى الأقراص المحلية للعميل، حيث يمكن للمهاجم نسخ powershell.exe وتشغيله بعد إعادة تسميته.
→
لقد قدمنا طرقًا قليلة فقط لتجاوز القيود؛ يمكنك التوصل إلى العديد من السيناريوهات، ولكن جميعها تشترك في شيء واحد: الوصول إلى Windows Explorer. هناك العديد من التطبيقات التي تستخدم أدوات معالجة ملفات Windows القياسية، وعند وضعها في بيئة محدودة، يمكن استخدام تقنيات مماثلة.
4. التوصيات والاستنتاجات
كما نرى، حتى في بيئة محدودة هناك مجال لتطوير الهجوم. ومع ذلك، يمكنك جعل الحياة أكثر صعوبة بالنسبة للمهاجم. نحن نقدم توصيات عامة ستكون مفيدة في الخيارات التي نظرنا فيها وفي حالات أخرى.
- قصر تشغيل البرنامج على القوائم السوداء/البيضاء باستخدام سياسات المجموعة.
ومع ذلك، في معظم الحالات، يظل من الممكن تشغيل التعليمات البرمجية. ننصحك بالتعرف على المشروع للحصول على فكرة عن الطرق غير الموثقة لمعالجة الملفات وتنفيذ التعليمات البرمجية على النظام.
نوصي بالجمع بين كلا النوعين من القيود: على سبيل المثال، يمكنك السماح بتشغيل الملفات القابلة للتنفيذ الموقعة من قبل Microsoft، ولكن تقييد تشغيل cmd.exe. - تعطيل علامات تبويب إعدادات Internet Explorer (يمكن إجراؤها محليًا في السجل).
- قم بتعطيل تعليمات Windows المضمنة عبر regedit.
- قم بتعطيل القدرة على تحميل الأقراص المحلية للاتصالات عن بعد إذا لم يكن هذا القيد ضروريًا للمستخدمين.
- قم بتقييد الوصول إلى محركات الأقراص المحلية للجهاز البعيد، مع ترك الوصول إلى مجلدات المستخدم فقط.
نأمل أن تجدها مثيرة للاهتمام على الأقل، وعلى أقصى تقدير، ستساعد هذه المقالة في جعل العمل عن بعد في شركتك أكثر أمانًا.
المصدر: www.habr.com