1. Introduzione
L'imprese chì ùn avianu micca sistemi d'accessu remoti in u locu l'anu implementatu urgentemente un paru di mesi fà. Micca tutti l'amministratori sò stati preparati per un tali "calore", chì hà risultatu in lapsus di sicurità: cunfigurazione incorrecta di servizii o ancu installazione di versioni obsoleti di software cù vulnerabili scuperte prima. Per alcuni, sti omissioni sò digià boomeranged, altri eranu più furtunati, ma tutti duverebbe definitivamente piglià cunclusioni. A fideltà à u travagliu remoto hè aumentatu in modu esponenziale, è più è più cumpagnie accettanu u travagliu remoto cum'è un formatu accettabile in modu continuu.
Dunque, ci sò parechje opzioni per furnisce l'accessu remoto: diverse VPN, RDS è VNC, TeamViewer è altri. L'amministratori anu assai di sceglie, basatu annantu à e specifiche di custruisce una reta corporativa è i dispositi in questu. Soluzioni VPN restanu i più populari, però, assai picculi cumpagnie sceglienu RDS (Servizi Remote Desktop), sò più simplici è più veloci à implementà.
In questu articulu parleremu di più nantu à a sicurità RDS. Facemu una breve panoramica di e vulnerabilità cunnisciute, è ancu cunsiderà parechji scenarii per lancià un attaccu à una infrastruttura di rete basata in Active Directory. Speremu chì u nostru articulu aiuterà qualcunu à travaglià nantu à i bug è à migliurà a sicurità.
2. Vulnerabili RDS / RDP recenti
Ogni software cuntene errori è vulnerabili chì ponu esse sfruttati da l'attaccanti, è RDS ùn hè micca eccezzioni. Microsoft hà signalatu spessu novi vulnerabili ultimamente, cusì avemu decisu di dà una breve panoramica:
Questa vulnerabilità mette in risicu l'utilizatori chì si cunnettanu à un servitore cumprumissu. Un attaccu pò piglià u cuntrollu di u dispositivu di l'utilizatore o guadagnà un postu in u sistema per avè un accessu remoto permanente.
- / /
Stu gruppu di vulnerabili permette à un attaccu micca autenticatu di eseguisce remotamente codice arbitrariu in un servitore chì esegue RDS utilizendu una dumanda apposta. Puderanu ancu esse utilizati per creà vermi-malware chì infetta indipindente i dispositi vicini in a reta. Cusì, sti vulnerabili pò mette in periculu a reta di a cumpagnia sana, è solu l'aghjurnamenti puntuali ponu salvà.
U software d'accessu remotu hà ricivutu più attenzione da i circadori è l'attaccanti, cusì pudemu prestu intesu parlà di più vulnerabilità simili.
A bona nutizia hè chì micca tutte e vulnerabilità anu sfruttamentu publicu dispunibule. A mala nutizia hè chì ùn serà micca difficiule per un attaccante cun sapè fà scrive un sfruttamentu per una vulnerabilità basatu annantu à a descrizzione, o utilizendu tecniche cum'è Patch Diffing (i nostri culleghi anu scrittu annantu à questu in ). Dunque, ricumandemu di aghjurnà regularmente u software è di monitorà l'apparizione di novi messagi nantu à e vulnerabilità scuperte.
3. Attacchi
Passemu à a seconda parte di l'articulu, induve mustraremu cumu cumincianu l'attacchi à l'infrastruttura di rete basati in Active Directory.
I metudi descritti sò applicabili à u mudellu di attaccu seguenti: un attaccante chì hà un contu d'utilizatore è hà accessu à u Remote Desktop Gateway - un servitore di terminal (spessu hè accessibile, per esempiu, da una reta esterna). Utilizendu sti metudi, l'attaccante puderà cuntinuà l'attaccu à l'infrastruttura è cunsulidà a so presenza in a reta.
A cunfigurazione di a rete in ogni casu specificu pò esse diffirenti, ma e tecniche descritte sò abbastanza universale.
Esempii di abbandunà un ambiente ristrettu è di aumentà i privilegi
Quandu accede à u Remote Desktop Gateway, un attaccu prubabilmente scuntrà un tipu d'ambiente ristrettu. Quandu si cunnetta à un servitore di terminal, una applicazione hè lanciata nantu à questu: una finestra per cunnette via u protocolu Remote Desktop per risorse internu, Explorer, pacchetti d'uffiziu o qualsiasi altru software.
U scopu di l'attaccante serà di accede à eseguisce cumandamenti, vale à dì per lancià cmd o powershell. Diversi tecnichi classici di escape sandbox di Windows ponu aiutà cun questu. Cunsideremu elli in più.
Opzione 1. L'attaccante hà accessu à a finestra di cunnessione Remote Desktop in u Remote Desktop Gateway:
Si apre u menu "Mostra Opzioni". Opzioni appariscenu per manipulà i schedarii di cunfigurazione di cunnessione:
Da sta finestra, pudete accede facilmente à l'Explorer clicchendu qualsiasi di i buttoni "Open" o "Salvà":
Explorer si apre. A so "barra d'indirizzu" permette di lancià i fugliali eseguibili permessi, è ancu di listà u sistema di schedari. Questu pò esse utile per un attaccante in i casi induve i drive di u sistema sò oculati è ùn ponu micca accede direttamente:
→
Un scenariu simili pò esse riproduciutu, per esempiu, quandu si usa Excel da a suite Microsoft Office cum'è software remoto.
→
Inoltre, ùn vi scurdate di i macros utilizati in questa suite d'uffiziu. I nostri culleghi anu vistu u prublema di a macro security in questu .
Opzione 2. Utilizendu i stessi inputs cum'è in a versione precedente, l'attaccante lancia parechje cunnessione à u desktop remoto sottu u stessu contu. Quandu vi riconnettete, u primu sarà chjusu, è una finestra cù una notificazione d'errore appariscerà nantu à u screnu. U buttone d'aiutu in questa finestra chjamà Internet Explorer nantu à u servitore, dopu chì l'attaccu pò andà in Explorer.
→
Opzione 3. Se e restrizioni à u lanciu di i fugliali eseguibili sò cunfigurati, un attaccu pò scuntrà una situazione induve e pulitiche di gruppu pruibiscenu l'amministratore di eseguisce cmd.exe.
Ci hè un modu per attruvarà questu eseguendu un schedariu batte nantu à u desktop remoto cun cuntenutu cum'è cmd.exe /K <command>. Un errore à u principiu di cmd è un esempiu successu di eseguisce un schedariu bat hè mostratu in a figura sottu.
Opzione 4. Pruibisce u lanciamentu di l'applicazioni chì utilizanu listi neri basati nantu à u nome di i fugliali eseguibili ùn hè micca una panacea; ponu esse aggirati.
Cunsiderate u scenariu seguente: avemu disattivatu l'accessu à a linea di cummanda, impeditu u lanciamentu di Internet Explorer è PowerShell utilizendu pulitiche di gruppu. L'attaccante prova à chjamà aiutu - senza risposta. Pruvate di lancià powershell attraversu u menù di cuntestu di una finestra modale, chjamatu cù a chjave Shift pressata - un missaghju chì indica chì u lanciu hè pruibitu da l'amministratore. Prova à lancià powershell attraversu a barra di indirizzu - di novu senza risposta. Cumu scaccià a restrizione?
Hè abbastanza per copià powershell.exe da u cartulare C: WindowsSystem32WindowsPowerShellv1.0 à u cartulare di l'utilizatori, cambia u nome à qualcosa altru cà powershell.exe, è l'opzione di lanciamentu appariscerà.
Per automaticamente, quandu si cunnetta à un desktop remotu, l'accessu à i dischi lucali di u cliente hè furnitu, da induve un attaccu pò copià powershell.exe è eseguisce dopu avè rinominatu.
→
Avemu datu solu uni pochi di manere di scaccià e restrizioni; pudete vene cun assai più scenarii, ma tutti anu una cosa in cumunu: accessu à Windows Explorer. Ci hè parechje applicazioni chì utilizanu strumenti standard di manipulazione di schedarii di Windows, è quandu si trovanu in un ambiente limitatu, tecniche simili ponu esse usate.
4. Raccomandazioni è cunclusioni
Comu pudemu vede, ancu in un ambiente limitatu ci hè spaziu per u sviluppu di l'attaccu. Tuttavia, pudete fà a vita più difficiule per l'attaccante. Fornemu cunsiglii generali chì saranu utili sia in l'opzioni chì avemu cunsideratu sia in altri casi.
- Limite i lanciamenti di u prugramma à e liste nere / bianche usendu pulitiche di gruppu.
In a maiò parte di i casi, però, resta pussibule di eseguisce u codice. Hè ricumandemu di familiarizà cun u prugettu , per avè una idea di modi senza documentu di manipulà i schedari è eseguisce codice in u sistema.
Hè ricumandemu di cumminà i dui tipi di restrizioni: per esempiu, pudete permette u lanciamentu di schedarii eseguibili firmati da Microsoft, ma restringe u lanciamentu di cmd.exe. - Disattivate i tabs di paràmetri di Internet Explorer (pò esse fattu in u locu in u registru).
- Disattiva l'aiutu integratu di Windows via regedit.
- Disattivate a capacità di muntà dischi lucali per e cunnessione remoti se una tale limitazione ùn hè micca critica per l'utilizatori.
- Limite l'accessu à i drive lucali di a macchina remota, lascendu l'accessu solu à i cartulare di l'utilizatori.
Speremu chì avete trovu almenu interessante, è à u massimu, questu articulu vi aiuterà à fà u travagliu remoto di a vostra cumpagnia più sicura.
Source: www.habr.com