1. ўвядзенне
Кампаніі, у якіх не былі арганізаваны сістэмы выдаленага доступу, у экстраным парадку разгортвалі іх пару месяцаў таму. Не ўсе адміністратары былі гатовыя да такой "спякоце", як следства – недагляды ў бяспецы: некарэктная канфігурацыя сэрвісаў ці нават усталёўка састарэлых версій ПА з выяўленымі раней уразлівасцямі. Адным гэтыя недагляды ўжо вярнуліся бумерангам, іншым павезла больш, але высновы ўжо сапраўды варта зрабіць усім. Лаяльнасць да дыстанцыйнай працы кратна ўзрасла, і ўсё больш кампаній прымаюць выдаленне як дапушчальны фармат на пастаяннай аснове.
Такім чынам, варыянтаў забеспячэння выдаленага доступу мноства: розныя VPN, RDS і VNC, TeamViewer і іншыя. Адміністратарам ёсць з чаго абраць, засноўваючыся на спецыфіцы пабудовы карпаратыўнай сеткі і прылад у ёй. Самымі папулярнымі застаюцца VPN рашэнні, аднак, шматлікія невялікія кампаніі выбіраюць RDS (Remote Desktop Services), яны прасцей і хутчэй у разгортванні.
У гэтым артыкуле мы падрабязней пагаворым аб бяспецы RDS. Зробім кароткі агляд вядомых уразлівасцяў, а таксама разгледзім некалькі сцэнараў старту нападу на сеткавую інфраструктуру, заснаваную на Active Directory. Спадзяемся, камусьці наш артыкул дапаможа правесці працу над памылкамі і павысіць бяспеку.
2. Нядаўнія ўразлівасці RDS/RDP
Любое ПЗ утрымоўвае памылкі і ўразлівасці, якія эксплуатуюцца зламыснікамі, і RDS не з'яўляецца выключэннем. У апошні час Microsoft часта паведамляў аб новых уразлівасцях, мы вырашылі зрабіць іх кароткі агляд:
Гэтая ўразлівасць ставіць пад удар карыстачоў, якія падлучаюцца да скампраметаванага сервера. Зламыснік можа займець кантроль над карыстацкай прыладай або замацавацца ў сістэме, каб мець сталы выдалены доступ.
- / /
Гэтая група ўразлівасцяў дазваляе неаўтарызаванага зламысніку выдалена выконваць адвольны код на серверы з RDS з дапамогай адмыслова сфармаванага запыту. Таксама іх можна выкарыстоўваць для стварэння чарвякоў - шкоднаснага ПА, які заражае суседнія па сетцы прылады самастойна. Такім чынам, дадзеныя ўразлівасці могуць паставіць пад удар усю сетку кампаніі, і выратуе ад іх толькі своечасовае абнаўленне.
ПЗ для выдаленага доступу атрымала падвышаную ўвагу як даследнікаў, так і зламыснікаў, таму неўзабаве мы, магчыма, пачуем пра новыя падобныя ўразлівасці.
Добрая навіна ў тым, што не для ўсіх уразлівасцяў даступныя публічныя эксплоіты. Дрэнная - зламысніку, які валодае экспертызай, не складзе працы напісаць эксплоіт для ўразлівасці па апісанні, або выкарыстоўваючы такія прыёмы як Patch Diffing (пра яго пісалі нашы калегі ў ). Таму рэкамендуемы рэгулярна абнаўляць ПА і сачыць за з'яўленнем новых паведамленняў аб выяўленых уразлівасцях.
3. Напады
Мы пераходзім да другой часткі артыкула, дзе пакажам, як пачынаюцца напады на сеткавую інфраструктуру, заснаваную на Active Directory.
Апісаныя метады дастасавальныя для наступнай мадэлі парушальніка: зламыснік, які валодае ўліковым запісам карыстальніка і мае доступ да Remote Desktop Gateway – тэрмінальнаму серверу (часта ён даступны, напрыклад, з вонкавай сеткі). Ужыўшы гэтыя метады, зламыснік зможа працягнуць напад на інфраструктуру, і замацаваць сваю прысутнасць у сетцы.
Канфігурацыя сеткі ў кожным канкрэтным выпадку можа адрознівацца, але апісаныя прыёмы даволі ўніверсальныя.
Прыклады выхаду з абмежаванага асяроддзя і павышэння прывілеяў
Пры доступе да Remote Desktop Gateway зламыснік, хутчэй за ўсё, сутыкнецца з некаторым абмежаваным асяроддзем. Пры падлучэнні да тэрмінальнага сервера на ім запускаецца прыкладанне: акно для падлучэння па пратаколе Remote Desktop для ўнутраных рэсурсаў, правадыр, офісныя пакеты або любое іншае ПЗ.
Мэтай атакавалага будзе атрыманне доступу да выканання каманд, гэта значыць да запуску cmd ці powershell. У гэтым могуць дапамагчы некалькі класічных тэхнік уцёкаў з "пясочніцы" для Windows. Разгледзім іх далей.
варыянт 1. Зламыснік мае доступ да акна падлучэння Remote Desktop у рамках Remote Desktop Gateway:
Раскрываецца меню "Show Options". З'яўляюцца опцыі для маніпуляцыі файламі канфігурацыі падключэння:
З гэтага акна магчыма бесперашкодна патрапіць у Правадыр, націснуўшы любую з кнопак “Open” ці “Save”:
Адкрываецца Правадыр. Яго "адрасны радок" дае магчымасць запуску дазволеных выкананых файлаў, а таксама лістынга файлавай сістэмы. Гэта можа быць карысна атакаваламу ў выпадку, калі сістэмныя дыскі ўтоены і доступ да іх напрамую немагчымы:
→
Падобны сцэнар можна прайграць, напрыклад, пры выкарыстанні ў якасці выдаленага ПЗ Excel з пакета Microsoft Office.
→
Акрамя таго, не варта забываць пра макрасы, якія выкарыстоўваюцца ў дадзеным офісным пакеце. Нашы калегі разглядалі праблему бяспекі макрасаў у гэтай .
варыянт 2. Выкарыстоўваючы тыя ж уступныя, што і ў мінулым варыянце, атакавалы запускае некалькі падлучэнняў да выдаленага працоўнага стала пад адным і тым жа акаўнтам. Пры паўторным падключэнні першае будзе зачынена, а на экране з'явіцца акно з апавяшчэннем пра памылку. Кнопка дапамогі ў гэтым акне выкліча на серверы Internet Explorer, пасля чаго атакавалы можа перайсці ў Правадыр.
→
варыянт 3. Пры настроеных абмежаваннях на запуск выкананых файлаў, атакавалы можа сутыкнуцца з сітуацыяй, калі групавыя палітыкі забараняюць запуск cmd.exe адміністратарам.
Ёсць спосаб абыйсці гэта пры дапамозе запуску bat файла на выдаленым працоўным стале са змесцівам выгляду cmd.exe /K <каманда>. Памылка пры запуску cmd і паспяховы прыклад выканання bat файла прыведзены на малюнку ніжэй.
варыянт 4. Забарона запуску прыкладанняў пры дапамозе чорных спісаў па назве выкананых файлаў не панацэя, іх можна абыйсці.
Разгледзім наступны сцэнар: мы забаранілі доступ да каманднага радка, забаранілі запуск Internet Explorer і PowerShell пры дапамозе групавых палітык. Атакуючы спрабуе выклікаць даведку - ніякага водгуку. Спрабуе запусціць powershell праз кантэкстнае меню мадальнага акна, выкліканае з націснутай клавішай Shift – паведамленне аб забароне запуску адміністратарам. Спрабуе запусціць powershell праз адрасны радок - зноў ніякага водгуку. Як жа абысці абмежаванне?
Досыць скапіяваць powershell.exe з тэчкі C:WindowsSystem32WindowsPowerShellv1.0 у карыстацкую тэчку, змяніць імя на выдатнае ад powershell.exe, і магчымасць запуску з'явіцца.
Па змаўчанні пры падлучэнні да выдаленага працоўнага стала падаецца доступ да лакальных кружэлак кліента, адкуль атакавалы можа скапіяваць powershell.exe і пасля перайменавання запусціць.
→
Мы прывялі толькі некалькі спосабаў абыходу абмежаванняў, сцэнарыяў можна прыдумаць яшчэ вельмі шмат, але ўсё іх аб'ядноўвае вынахад у Правадыр Windows. Прыкладанняў, выкарыстоўвалых стандартныя сродкі Windows для працы з файламі, мноства, і пры змяшчэнні іх у абмежаванае асяроддзе, можна ўжываць падобныя тэхнікі.
4. Рэкамендацыі і заключэнне
Як мы бачым, нават у абмежаваным асяроддзі ёсць прастора для развіцця нападу. Аднак можна ўскладніць жыццё атакаваламу. Прыводзім агульныя рэкамендацыі, якія спатрэбяцца як у разгледжаных намі варыянтах, так і ў іншых выпадках.
- Абмяжуйце запуск праграм чорнымі/белымі спісамі, выкарыстоўваючы групавыя палітыкі.
Пры гэтым у большасці выпадкаў застаецца магчымасць запуску кода. Рэкамендуем азнаёміцца з праектам , Каб мець уяўленне аб недакументаваных спосабах маніпуляцыі файламі і выканання кода ў сістэме.
Рэкамендуем камбінаваць абодва тыпу абмежаванняў: напрыклад, можна дазволіць запуск выкананых файлаў, падпісаных кампаніяй Microsoft, але абмежаваць запуск cmd.exe. - Адключыце ўкладкі налад Internet Explorer (можна зрабіць лакальна ў рэестры).
- Адключыце праз regedit выклік убудаванай даведкі Windows.
- Адключыце магчымасць мантавання лакальных кружэлак для выдаленых падлучэнняў, калі такое абмежаванне не крытычна для карыстачоў.
- Абмяжуйце доступ да лакальных дыскаў выдаленай машыны, пакіньце доступ толькі да карыстацкіх тэчак.
Спадзяемся, вам было як мінімум цікава, а як максімум - гэты артыкул дапаможа зрабіць выдаленую працу вашай кампаніі бяспечней.
Крыніца: habr.com