1. Giriş
Uzaqdan giriş sistemləri olmayan şirkətlər onları bir neçə ay əvvəl təcili olaraq yerləşdirdilər. Bütün inzibatçılar belə bir “istiliyə” hazır deyildilər ki, bu da təhlükəsizlik pozğunluqları ilə nəticələndi: xidmətlərin səhv konfiqurasiyası və ya hətta əvvəllər aşkar edilmiş boşluqlarla proqram təminatının köhnəlmiş versiyalarının quraşdırılması. Bəziləri üçün bu nöqsanlar artıq bumeranj oldu, digərləri daha şanslı idi, amma hər kəs mütləq nəticə çıxarmalıdır. Uzaqdan işə sadiqlik eksponent olaraq artıb və getdikcə daha çox şirkət uzaqdan işləməyi davamlı olaraq məqbul format kimi qəbul edir.
Beləliklə, uzaqdan giriş təmin etmək üçün bir çox seçim var: müxtəlif VPN, RDS və VNC, TeamViewer və s. İnzibatçıların korporativ şəbəkə və onun içindəki cihazların qurulmasının xüsusiyyətlərinə əsaslanaraq seçim etmək üçün çoxlu imkanlar var. VPN həlləri ən populyar olaraq qalır, lakin bir çox kiçik şirkət RDS (Uzaq Masaüstü Xidmətləri) seçir, onlar daha sadə və daha sürətli yerləşdirilir.
Bu yazıda RDS təhlükəsizliyi haqqında daha çox danışacağıq. Gəlin məlum zəifliklərə qısa nəzər salaq, həmçinin Active Directory əsasında şəbəkə infrastrukturuna hücumun başlanması üçün bir neçə ssenarini nəzərdən keçirək. Ümid edirik ki, məqaləmiz kiməsə səhvlər üzərində işləməyə və təhlükəsizliyi yaxşılaşdırmağa kömək edəcək.
2. Son RDS/RDP zəiflikləri
İstənilən proqram təminatı təcavüzkarlar tərəfindən istifadə edilə bilən səhvlər və zəiflikləri ehtiva edir və RDS də istisna deyil. Microsoft son vaxtlar tez-tez yeni boşluqlar barədə məlumat verir, ona görə də biz onlara qısa icmal vermək qərarına gəldik:
Bu boşluq təhlükə altında olan serverə qoşulan istifadəçiləri risk altında qoyur. Təcavüzkar istifadəçinin cihazına nəzarəti ələ keçirə və ya daimi uzaqdan giriş əldə etmək üçün sistemdə mövqe qazana bilər.
- / /
Bu zəifliklər qrupu təsdiqlənməmiş təcavüzkara xüsusi hazırlanmış sorğudan istifadə edərək RDS ilə işləyən serverdə ixtiyari kodu uzaqdan icra etməyə imkan verir. Onlar həmçinin qurdlar yaratmaq üçün istifadə edilə bilər - şəbəkədəki qonşu cihazları müstəqil şəkildə yoluxduran zərərli proqram. Beləliklə, bu zəifliklər bütün şirkətin şəbəkəsini təhlükə altına qoya bilər və yalnız vaxtında edilən yeniləmələr onları xilas edə bilər.
Uzaqdan giriş proqramı həm tədqiqatçılar, həm də hücumçuların diqqətini artırdı, ona görə də tezliklə daha oxşar boşluqlar haqqında eşidə bilərik.
Yaxşı xəbər odur ki, bütün zəifliklərin ictimai istismarı mövcud deyil. Pis xəbər odur ki, təcrübəyə malik olan təcavüzkarın təsvirə əsaslanaraq və ya Patch Diffing kimi üsullardan istifadə edərək zəiflik üçün istismar yazmaq çətin olmayacaq (həmkarlarımız bu barədə ). Buna görə də, proqram təminatını mütəmadi olaraq yeniləməyi və aşkar edilmiş boşluqlar haqqında yeni mesajların görünüşünü izləməyi tövsiyə edirik.
3. Hücumlar
Məqalənin ikinci hissəsinə keçirik, burada Active Directory əsasında şəbəkə infrastrukturuna hücumların necə başladığını göstərəcəyik.
Təsvir edilən üsullar aşağıdakı təcavüzkar modelinə şamil edilir: istifadəçi hesabı olan və Uzaq Masaüstü Şlüzinə girişi olan təcavüzkar - terminal serveri (çox vaxt ona, məsələn, xarici şəbəkədən daxil olmaq mümkündür). Bu üsullardan istifadə etməklə təcavüzkar infrastruktura hücumu davam etdirə və şəbəkədə mövcudluğunu möhkəmləndirə biləcək.
Hər bir konkret vəziyyətdə şəbəkə konfiqurasiyası fərqli ola bilər, lakin təsvir olunan üsullar olduqca universaldır.
Məhdud mühiti tərk etmək və imtiyazları artırmaq nümunələri
Remote Desktop Gateway-ə daxil olarkən, təcavüzkar bir növ məhdudlaşdırılmış mühitlə qarşılaşacaq. Terminal serverinə qoşulduqda onun üzərində proqram işə salınır: daxili resurslar, Explorer, ofis paketləri və ya hər hansı digər proqram təminatı üçün Uzaq Masaüstü protokolu vasitəsilə qoşulma pəncərəsi.
Təcavüzkarın məqsədi əmrləri yerinə yetirmək imkanı əldə etmək, yəni cmd və ya powershell-i işə salmaq olacaq. Bir neçə klassik Windows sandbox qaçış üsulları buna kömək edə bilər. Onları daha ətraflı nəzərdən keçirək.
Seçim 1. Təcavüzkarın Uzaq Masaüstü Şlüz daxilində Uzaq Masaüstü bağlantısı pəncərəsinə çıxışı var:
"Seçimləri göstər" menyusu açılır. Bağlantı konfiqurasiya fayllarını manipulyasiya etmək üçün seçimlər görünür:
Bu pəncərədən "Açıq" və ya "Saxla" düymələrindən hər hansı birini klikləməklə Explorer-ə asanlıqla daxil ola bilərsiniz:
Explorer açılır. Onun "ünvan paneli" icazə verilən icra olunan faylları işə salmağa, həmçinin fayl sistemini siyahıya salmağa imkan verir. Bu, sistem sürücülərinin gizlədildiyi və onlara birbaşa daxil ola bilmədiyi hallarda təcavüzkar üçün faydalı ola bilər:
→
Bənzər bir ssenari, məsələn, Microsoft Office paketindən Excel proqramını uzaq proqram kimi istifadə edərkən təkrarlana bilər.
→
Bundan əlavə, bu ofis paketində istifadə olunan makroları unutma. Həmkarlarımız burada makro təhlükəsizlik probleminə baxıblar .
Seçim 2. Əvvəlki versiyada olduğu kimi eyni girişlərdən istifadə edərək, təcavüzkar eyni hesab altında uzaq masaüstünə bir neçə əlaqə yaradır. Yenidən qoşulduqda birincisi bağlanacaq və ekranda səhv bildirişi olan bir pəncərə görünəcək. Bu pəncərədəki yardım düyməsi serverdə Internet Explorer-ə zəng edəcək, bundan sonra təcavüzkar Explorer-ə gedə bilər.
→
Seçim 3. İcra edilə bilən faylları işə salmaq üçün məhdudiyyətlər konfiqurasiya olunarsa, təcavüzkar qrup siyasətlərinin administratora cmd.exe proqramını işləməsini qadağan etdiyi vəziyyətlə qarşılaşa bilər.
Uzaq iş masasında cmd.exe /K <command> kimi məzmunu olan yarasa faylı işlətməklə bu problemi həll etməyin bir yolu var. Cmd-ni işə salarkən xəta və yarasa faylının uğurlu icra nümunəsi aşağıdakı şəkildə göstərilmişdir.
Seçim 4. İcra edilə bilən faylların adına əsaslanan qara siyahılardan istifadə edən proqramların işə salınmasının qadağan edilməsi panacea deyil, onlardan yayınmaq olar.
Aşağıdakı ssenarini nəzərdən keçirin: komanda xəttinə girişi dayandırdıq, qrup siyasətlərindən istifadə edərək Internet Explorer və PowerShell-in işə salınmasının qarşısını aldıq. Təcavüzkar kömək çağırmağa çalışır - cavab yoxdur. Shift düyməsini sıxmaqla çağırılan modal pəncərənin kontekst menyusu vasitəsilə powershell-i işə salmağa çalışırıq - işə salınmanın administrator tərəfindən qadağan edildiyini göstərən bir mesaj. Ünvan paneli vasitəsilə powershell-i işə salmağa çalışır - yenə cavab yoxdur. Məhdudiyyəti necə keçmək olar?
C:WindowsSystem32WindowsPowerShellv1.0 qovluğundan powershell.exe-ni istifadəçi qovluğuna köçürmək kifayətdir, adı powershell.exe-dən başqa bir şeyə dəyişdirin və işə salma seçimi görünəcək.
Varsayılan olaraq, uzaq masaüstünə qoşulduqda, müştərinin yerli disklərinə giriş təmin edilir, oradan təcavüzkar powershell.exe faylını kopyalaya və adını dəyişdirdikdən sonra onu işə sala bilər.
→
Məhdudiyyətlərdən yan keçməyin yalnız bir neçə yolunu təqdim etdik; siz daha çox ssenari ilə çıxış edə bilərsiniz, lakin onların hamısının ortaq bir cəhəti var: Windows Explorer-ə giriş. Standart Windows fayl manipulyasiya alətlərindən istifadə edən bir çox proqram var və məhdud bir mühitə yerləşdirildikdə oxşar üsullardan istifadə edilə bilər.
4. Tövsiyələr və nəticə
Gördüyümüz kimi, hətta məhdud bir mühitdə hücumun inkişafı üçün yer var. Bununla belə, təcavüzkarın həyatını çətinləşdirə bilərsiniz. Həm nəzərdən keçirdiyimiz variantlarda, həm də digər hallarda faydalı olacaq ümumi tövsiyələr veririk.
- Qrup siyasətlərindən istifadə edərək proqramın işə salınmasını qara/ağ siyahılarla məhdudlaşdırın.
Əksər hallarda isə kodu işlətmək mümkün olaraq qalır. Layihə ilə tanış olmağı tövsiyə edirik , faylları manipulyasiya etməyin və sistemdə kodun icrasının sənədsiz yolları haqqında təsəvvürə malik olmaq.
Hər iki məhdudiyyət növünü birləşdirməyi tövsiyə edirik: məsələn, Microsoft tərəfindən imzalanmış icra olunan faylların işə salınmasına icazə verə bilərsiniz, lakin cmd.exe proqramının işə salınmasını məhdudlaşdıra bilərsiniz. - Internet Explorer parametrləri nişanlarını söndürün (reyestrdə yerli olaraq edilə bilər).
- Regedit vasitəsilə Windows-un daxili yardımını söndürün.
- Belə bir məhdudiyyət istifadəçilər üçün kritik deyilsə, uzaqdan bağlantılar üçün yerli diskləri quraşdırmaq qabiliyyətini söndürün.
- Yalnız istifadəçi qovluqlarına girişi tərk edərək, uzaq maşının yerli disklərinə girişi məhdudlaşdırın.
Ümid edirik ki, siz bunu ən azı maraqlı tapdınız və maksimum olaraq bu məqalə şirkətinizin uzaqdan işini daha təhlükəsiz etməyə kömək edəcək.
Mənbə: www.habr.com