1. Cyflwyniad
Fe wnaeth cwmnïau nad oedd â systemau mynediad o bell yn eu lle eu defnyddio ar frys ychydig fisoedd yn ôl. Nid oedd pob gweinyddwr yn barod ar gyfer “gwres” o'r fath, a arweiniodd at fethiannau diogelwch: cyfluniad anghywir o wasanaethau neu hyd yn oed gosod fersiynau hen ffasiwn o feddalwedd gyda gwendidau a ddarganfuwyd yn flaenorol. I rai, mae'r hepgoriadau hyn eisoes wedi cynyddu, roedd eraill yn fwy ffodus, ond dylai pawb ddod i gasgliadau yn bendant. Mae teyrngarwch i waith o bell wedi cynyddu'n esbonyddol, ac mae mwy a mwy o gwmnïau'n derbyn gwaith o bell fel fformat derbyniol yn barhaus.
Felly, mae yna lawer o opsiynau ar gyfer darparu mynediad o bell: amrywiol VPNs, RDS a VNC, TeamViewer ac eraill. Mae gan weinyddwyr ddigon i ddewis ohonynt, yn seiliedig ar fanylion adeiladu rhwydwaith corfforaethol a dyfeisiau ynddo. Atebion VPN yw'r rhai mwyaf poblogaidd o hyd, fodd bynnag, mae llawer o gwmnïau bach yn dewis RDS (Gwasanaethau Penbwrdd o Bell), maent yn symlach ac yn gyflymach i'w defnyddio.
Yn yr erthygl hon byddwn yn siarad mwy am ddiogelwch RDS. Gadewch i ni wneud trosolwg byr o wendidau hysbys, a hefyd ystyried sawl senario ar gyfer lansio ymosodiad ar seilwaith rhwydwaith yn seiliedig ar Active Directory. Gobeithiwn y bydd ein herthygl yn helpu rhywun i weithio ar fygiau a gwella diogelwch.
2. Gwendidau diweddar y system RDS/RDP
Mae unrhyw feddalwedd yn cynnwys gwallau a gwendidau y gall ymosodwyr eu hecsbloetio, ac nid yw RDS yn eithriad. Mae Microsoft wedi bod yn adrodd am wendidau newydd yn aml yn ddiweddar, felly fe wnaethom benderfynu rhoi trosolwg byr iddynt:
Mae'r bregusrwydd hwn yn rhoi defnyddwyr sy'n cysylltu â gweinydd dan fygythiad mewn perygl. Gall ymosodwr ennill rheolaeth ar ddyfais defnyddiwr neu ennill troedle yn y system i gael mynediad parhaol o bell.
- / /
Mae'r grŵp hwn o wendidau yn caniatáu i ymosodwr heb ei ddilysu weithredu cod mympwyol o bell ar weinydd sy'n rhedeg RDS gan ddefnyddio cais a luniwyd yn arbennig. Gellir eu defnyddio hefyd i greu mwydod - drwgwedd sy'n heintio dyfeisiau cyfagos ar y rhwydwaith yn annibynnol. Felly, gall y gwendidau hyn beryglu rhwydwaith cyfan y cwmni, a dim ond diweddariadau amserol all eu harbed.
Mae meddalwedd mynediad o bell wedi cael mwy o sylw gan ymchwilwyr ac ymosodwyr, felly efallai y byddwn yn clywed yn fuan am wendidau tebyg.
Y newyddion da yw nad oes gan bob bregusrwydd gampau cyhoeddus ar gael. Y newyddion drwg yw na fydd yn anodd i ymosodwr ag arbenigedd ysgrifennu camfanteisio ar gyfer bregusrwydd yn seiliedig ar y disgrifiad, neu ddefnyddio technegau fel Patch Diffing (ysgrifennodd ein cydweithwyr amdano yn ). Felly, rydym yn argymell eich bod yn diweddaru'r feddalwedd yn rheolaidd ac yn monitro ymddangosiad negeseuon newydd am wendidau a ddarganfuwyd.
3. Ymosodiadau
Symudwn ymlaen i ail ran yr erthygl, lle byddwn yn dangos sut mae ymosodiadau ar seilwaith rhwydwaith yn seiliedig ar Active Directory yn cychwyn.
Mae'r dulliau a ddisgrifir yn berthnasol i'r model ymosodwr canlynol: ymosodwr sydd â chyfrif defnyddiwr ac sydd â mynediad i'r Porth Penbwrdd Anghysbell - gweinydd terfynell (yn aml mae'n hygyrch, er enghraifft, o rwydwaith allanol). Trwy ddefnyddio'r dulliau hyn, bydd yr ymosodwr yn gallu parhau â'r ymosodiad ar y seilwaith a chyfnerthu ei bresenoldeb ar y rhwydwaith.
Gall cyfluniad y rhwydwaith ym mhob achos penodol fod yn wahanol, ond mae'r technegau a ddisgrifir yn eithaf cyffredinol.
Enghreifftiau o adael amgylchedd cyfyngedig a chynyddu breintiau
Wrth gyrchu'r Porth Penbwrdd Anghysbell, mae'n debygol y bydd ymosodwr yn dod ar draws rhyw fath o amgylchedd cyfyngedig. Pan fyddwch chi'n cysylltu â gweinydd terfynell, mae rhaglen yn cael ei lansio arno: ffenestr ar gyfer cysylltu trwy'r protocol Remote Desktop ar gyfer adnoddau mewnol, Explorer, pecynnau swyddfa neu unrhyw feddalwedd arall.
Nod yr ymosodwr fydd cael mynediad i weithredu gorchmynion, hynny yw, lansio cmd neu blisgyn pwerau. Gall nifer o dechnegau dianc blwch tywod clasurol Windows helpu gyda hyn. Gadewch i ni eu hystyried ymhellach.
Opsiwn 1. Mae gan yr ymosodwr fynediad i'r ffenestr cysylltiad Penbwrdd Pell o fewn y Porth Penbwrdd Pell:
Mae'r ddewislen "Show Options" yn agor. Mae opsiynau'n ymddangos ar gyfer trin ffeiliau ffurfweddu cysylltiad:
O'r ffenestr hon gallwch gael mynediad hawdd i Explorer trwy glicio ar unrhyw un o'r botymau "Agored" neu "Save":
Explorer yn agor. Mae ei “bar cyfeiriad” yn ei gwneud hi'n bosibl lansio ffeiliau gweithredadwy a ganiateir, yn ogystal â rhestru'r system ffeiliau. Gall hyn fod yn ddefnyddiol i ymosodwr mewn achosion lle mae gyriannau system wedi'u cuddio ac na ellir eu cyrchu'n uniongyrchol:
→
Gellir atgynhyrchu senario tebyg, er enghraifft, wrth ddefnyddio Excel o gyfres Microsoft Office fel meddalwedd o bell.
→
Yn ogystal, peidiwch ag anghofio am y macros a ddefnyddir yn y gyfres swyddfa hon. Edrychodd ein cydweithwyr ar y broblem o ddiogelwch macro yn hyn o beth .
Opsiwn 2. Gan ddefnyddio'r un mewnbynnau ag yn y fersiwn flaenorol, mae'r ymosodwr yn lansio sawl cysylltiad â'r bwrdd gwaith anghysbell o dan yr un cyfrif. Pan fyddwch chi'n ailgysylltu, bydd yr un cyntaf ar gau, a bydd ffenestr gyda hysbysiad gwall yn ymddangos ar y sgrin. Bydd y botwm cymorth yn y ffenestr hon yn galw Internet Explorer ar y gweinydd, ac ar ôl hynny gall yr ymosodwr fynd i Explorer.
→
Opsiwn 3. Os yw cyfyngiadau ar lansio ffeiliau gweithredadwy yn cael eu ffurfweddu, gall ymosodwr ddod ar draws sefyllfa lle mae polisïau grŵp yn gwahardd y gweinyddwr rhag rhedeg cmd.exe.
Mae ffordd o fynd o gwmpas hyn trwy redeg ffeil ystlumod ar y bwrdd gwaith anghysbell gyda chynnwys fel cmd.exe /K <command>. Dangosir gwall wrth gychwyn cmd ac enghraifft lwyddiannus o weithredu ffeil ystlumod yn y ffigwr isod.
Opsiwn 4. Nid yw gwahardd lansio cymwysiadau gan ddefnyddio rhestrau du yn seiliedig ar enw ffeiliau gweithredadwy yn ateb i bob problem; gellir eu hosgoi.
Ystyriwch y senario canlynol: rydym wedi analluogi mynediad i'r llinell orchymyn, wedi atal lansiad Internet Explorer a PowerShell gan ddefnyddio polisïau grŵp. Mae'r ymosodwr yn ceisio galw am help - dim ymateb. Yn ceisio lansio powershell trwy ddewislen cyd-destun ffenestr foddol, o'r enw gyda'r allwedd Shift wedi'i wasgu - neges sy'n nodi bod y gweinyddwr yn gwahardd ei lansiad. Yn ceisio lansio powershell drwy'r bar cyfeiriad - eto dim ymateb. Sut i osgoi'r cyfyngiad?
Mae'n ddigon i gopïo powershell.exe o'r ffolder C: WindowsSystem32WindowsPowerShellv1.0 i'r ffolder defnyddiwr, newid yr enw i rywbeth heblaw powershell.exe, a bydd yr opsiwn lansio yn ymddangos.
Yn ddiofyn, wrth gysylltu â bwrdd gwaith anghysbell, darperir mynediad i ddisgiau lleol y cleient, lle gall ymosodwr gopïo powershell.exe a'i redeg ar ôl ei ailenwi.
→
Dim ond ychydig o ffyrdd rydyn ni wedi'u rhoi i osgoi'r cyfyngiadau; gallwch chi feddwl am lawer mwy o senarios, ond mae ganddyn nhw i gyd un peth yn gyffredin: mynediad i Windows Explorer. Mae yna lawer o gymwysiadau sy'n defnyddio offer trin ffeiliau safonol Windows, a phan gânt eu gosod mewn amgylchedd cyfyngedig, gellir defnyddio technegau tebyg.
4. Argymhellion a chasgliad
Fel y gallwn weld, hyd yn oed mewn amgylchedd cyfyngedig mae lle i ddatblygu ymosodiadau. Fodd bynnag, gallwch chi wneud bywyd yn anoddach i'r ymosodwr. Rydym yn darparu argymhellion cyffredinol a fydd yn ddefnyddiol yn yr opsiynau rydym wedi'u hystyried ac mewn achosion eraill.
- Cyfyngu lansiadau rhaglen i restrau du/gwyn gan ddefnyddio polisïau grŵp.
Yn y rhan fwyaf o achosion, fodd bynnag, mae'n dal yn bosibl rhedeg y cod. Rydym yn argymell eich bod yn ymgyfarwyddo â’r prosiect , i gael syniad o ffyrdd heb eu dogfennu o drin ffeiliau a gweithredu cod ar y system.
Rydym yn argymell cyfuno'r ddau fath o gyfyngiad: er enghraifft, gallwch ganiatáu lansio ffeiliau gweithredadwy wedi'u llofnodi gan Microsoft, ond cyfyngu ar lansiad cmd.exe. - Analluogi tabiau gosodiadau Internet Explorer (gellir ei wneud yn lleol yn y gofrestrfa).
- Analluogi cymorth adeiledig Windows trwy regedit.
- Analluoga'r gallu i osod disgiau lleol ar gyfer cysylltiadau o bell os nad yw cyfyngiad o'r fath yn hanfodol i ddefnyddwyr.
- Cyfyngu mynediad i yriannau lleol y peiriant o bell, gan adael mynediad yn unig i ffolderi defnyddwyr.
Gobeithiwn ei fod o leiaf yn ddiddorol ichi, ac ar y mwyaf, bydd yr erthygl hon yn helpu i wneud gwaith anghysbell eich cwmni yn fwy diogel.
Ffynhonnell: hab.com