1. Úvod
Společnosti, které neměly systémy vzdáleného přístupu, je před několika měsíci naléhavě nasadily. Ne všichni administrátoři byli na takové „žhavení“ připraveni, což vedlo k bezpečnostním výpadkům: nesprávné konfiguraci služeb nebo dokonce instalaci zastaralých verzí softwaru s dříve objevenými zranitelnostmi. U některých se tato opomenutí již stala bumerangem, jiní měli větší štěstí, ale závěry by si měl určitě udělat každý. Loajalita k práci na dálku se exponenciálně zvýšila a stále více společností přijímá práci na dálku jako přijatelný formát průběžně.
Existuje tedy mnoho možností pro poskytování vzdáleného přístupu: různé VPN, RDS a VNC, TeamViewer a další. Správci mají z čeho vybírat, podle specifik budování podnikové sítě a zařízení v ní. Řešení VPN zůstávají nejoblíbenější, nicméně mnoho malých společností volí RDS (Remote Desktop Services), jejich nasazení je jednodušší a rychlejší.
V tomto článku si povíme více o zabezpečení RDS. Pojďme si udělat stručný přehled známých zranitelností a také zvážit několik scénářů pro zahájení útoku na síťovou infrastrukturu založenou na Active Directory. Doufáme, že náš článek někomu pomůže pracovat na chybách a zlepšit zabezpečení.
2. Nedávné zranitelnosti RDS/RDP
Jakýkoli software obsahuje chyby a zranitelnosti, které mohou útočníci zneužít, a RDS není výjimkou. Společnost Microsoft v poslední době často hlásí nové chyby zabezpečení, a proto jsme se rozhodli poskytnout jim stručný přehled:
Tato chyba zabezpečení vystavuje uživatele, kteří se připojují ke kompromitovanému serveru, riziku. Útočník může získat kontrolu nad zařízením uživatele nebo získat oporu v systému a získat tak trvalý vzdálený přístup.
- / /
Tato skupina zranitelností umožňuje neověřenému útočníkovi vzdáleně spustit libovolný kód na serveru se systémem RDS pomocí speciálně vytvořeného požadavku. Lze je také použít k vytvoření červů – malwaru, který nezávisle infikuje sousední zařízení v síti. Tyto zranitelnosti tedy mohou ohrozit síť celé společnosti a zachránit je mohou pouze včasné aktualizace.
Software pro vzdálený přístup získal zvýšenou pozornost jak ze strany výzkumníků, tak útočníků, takže možná brzy uslyšíme o dalších podobných zranitelnostech.
Dobrou zprávou je, že ne všechny zranitelnosti mají k dispozici veřejné exploity. Špatnou zprávou je, že pro zkušeného útočníka nebude těžké napsat exploit na zranitelnost na základě popisu nebo pomocí technik, jako je Patch Diffing (naši kolegové o tom psali v ). Proto doporučujeme pravidelně aktualizovat software a sledovat výskyt nových zpráv o objevených zranitelnostech.
3. Útoky
Přecházíme do druhé části článku, kde si ukážeme, jak začínají útoky na síťovou infrastrukturu založenou na Active Directory.
Popsané metody jsou použitelné pro následující model útočníka: útočník, který má uživatelský účet a má přístup k bráně vzdálené plochy – terminálovému serveru (často je přístupný např. z externí sítě). Pomocí těchto metod bude útočník schopen pokračovat v útoku na infrastrukturu a upevnit svou přítomnost v síti.
Konfigurace sítě se v každém konkrétním případě může lišit, ale popsané techniky jsou zcela univerzální.
Příklady opuštění omezeného prostředí a zvýšení oprávnění
Při přístupu k bráně vzdálené plochy se útočník pravděpodobně setká s nějakým druhem omezeného prostředí. Když se připojíte k terminálovému serveru, spustí se na něm aplikace: okno pro připojení pomocí protokolu Remote Desktop pro interní zdroje, Průzkumníka, kancelářské balíky nebo jakýkoli jiný software.
Cílem útočníka bude získat přístup k provádění příkazů, tedy ke spuštění cmd nebo powershell. S tím může pomoci několik klasických únikových technik Windows sandbox. Zvažme je dále.
Možnost 1. Útočník má přístup k oknu připojení ke vzdálené ploše v rámci brány vzdálené plochy:
Otevře se nabídka „Zobrazit možnosti“. Zobrazí se možnosti pro manipulaci se soubory konfigurace připojení:
Z tohoto okna můžete snadno vstoupit do Průzkumníka kliknutím na libovolné z tlačítek „Otevřít“ nebo „Uložit“:
Otevře se Průzkumník. Jeho „adresní řádek“ umožňuje spouštění povolených spustitelných souborů a také výpis systému souborů. To může být užitečné pro útočníka v případech, kdy jsou systémové jednotky skryté a nelze k nim přímo přistupovat:
→
Podobný scénář lze reprodukovat například při použití Excelu ze sady Microsoft Office jako vzdáleného softwaru.
→
Kromě toho nezapomeňte na makra použitá v tomto kancelářském balíku. Naši kolegové se v tomto podívali na problém makrobezpečnosti .
Možnost 2. Pomocí stejných vstupů jako v předchozí verzi útočník spustí několik připojení ke vzdálené ploše pod stejným účtem. Když se znovu připojíte, první se zavře a na obrazovce se objeví okno s upozorněním na chybu. Tlačítko nápovědy v tomto okně zavolá Internet Explorer na serveru a poté může útočník přejít do Průzkumníka.
→
Možnost 3. Pokud jsou nakonfigurována omezení pro spouštění spustitelných souborů, může se útočník dostat do situace, kdy zásady skupiny zakazují správci spouštět cmd.exe.
Existuje způsob, jak to obejít spuštěním souboru bat na vzdálené ploše s obsahem jako cmd.exe /K <příkaz>. Chyba při spouštění cmd a úspěšný příklad spuštění souboru bat je znázorněn na obrázku níže.
Možnost 4. Zákaz spouštění aplikací pomocí blacklistů na základě názvu spustitelných souborů není všelék, lze je obejít.
Zvažte následující scénář: zakázali jsme přístup k příkazovému řádku, zabránili spuštění Internet Exploreru a PowerShellu pomocí zásad skupiny. Útočník se pokouší volat o pomoc – žádná odezva. Pokus o spuštění powershell přes kontextovou nabídku modálního okna, vyvolaného se stisknutou klávesou Shift – zpráva oznamující, že spuštění je zakázáno administrátorem. Pokusí se spustit powershell přes adresní řádek - opět žádná odezva. Jak obejít omezení?
Powershell.exe stačí zkopírovat ze složky C:WindowsSystem32WindowsPowerShellv1.0 do uživatelské složky, změnit název na jiný než powershell.exe a objeví se možnost spuštění.
Ve výchozím nastavení je při připojování ke vzdálené ploše zajištěn přístup k lokálním diskům klienta, odkud může útočník zkopírovat powershell.exe a po přejmenování jej spustit.
→
Uvedli jsme jen několik způsobů, jak obejít omezení; můžete přijít s mnoha dalšími scénáři, ale všechny mají jedno společné: přístup k Průzkumníkovi Windows. Existuje mnoho aplikací, které používají standardní nástroje pro manipulaci se soubory Windows, a když jsou umístěny v omezeném prostředí, lze použít podobné techniky.
4. Doporučení a závěr
Jak vidíme, i v omezeném prostředí je prostor pro rozvoj útoku. Útočníkovi však můžete zkomplikovat život. Poskytujeme obecná doporučení, která budou užitečná jak v možnostech, které jsme zvažovali, tak v jiných případech.
- Omezte spouštění programu na černé/bílé listiny pomocí skupinových zásad.
Ve většině případů však zůstává možné kód spustit. Doporučujeme se s projektem seznámit , abyste měli představu o nezdokumentovaných způsobech manipulace se soubory a spouštění kódu v systému.
Doporučujeme kombinovat oba typy omezení: například můžete povolit spouštění spustitelných souborů podepsaných společností Microsoft, ale omezit spouštění cmd.exe. - Zakázat karty nastavení aplikace Internet Explorer (lze provést lokálně v registru).
- Zakázat vestavěnou nápovědu Windows přes regedit.
- Zakažte možnost připojovat místní disky pro vzdálená připojení, pokud takové omezení není pro uživatele kritické.
- Omezte přístup k místním jednotkám vzdáleného počítače a ponechejte přístup pouze k uživatelským složkám.
Doufáme, že vás to alespoň zaujalo, a maximálně vám tento článek pomůže učinit vzdálenou práci vaší společnosti bezpečnější.
Zdroj: www.habr.com