1. Introduktion
Virksomheder, der ikke havde fjernadgangssystemer på plads, implementerede dem omgående for et par måneder siden. Ikke alle administratorer var forberedt på sådan en "varme", som resulterede i sikkerhedsbortfald: forkert konfiguration af tjenester eller endda installation af forældede versioner af software med tidligere opdagede sårbarheder. For nogle har disse udeladelser allerede boomeranget, andre var mere heldige, men alle burde bestemt drage konklusioner. Loyaliteten til fjernarbejde er steget eksponentielt, og flere og flere virksomheder accepterer løbende fjernarbejde som et acceptabelt format.
Så der er mange muligheder for at give fjernadgang: forskellige VPN'er, RDS og VNC, TeamViewer og andre. Administratorer har masser at vælge imellem, baseret på detaljerne ved at bygge et virksomhedsnetværk og enheder i det. VPN-løsninger er fortsat de mest populære, men mange små virksomheder vælger RDS (Remote Desktop Services), de er enklere og hurtigere at implementere.
I denne artikel vil vi tale mere om RDS-sikkerhed. Lad os lave en kort oversigt over kendte sårbarheder og også overveje flere scenarier for at lancere et angreb på en netværksinfrastruktur baseret på Active Directory. Vi håber, at vores artikel vil hjælpe nogen med at arbejde på fejl og forbedre sikkerheden.
2. Seneste RDS/RDP-sårbarheder
Enhver software indeholder fejl og sårbarheder, der kan udnyttes af angribere, og RDS er ingen undtagelse. Microsoft har ofte rapporteret nye sårbarheder på det seneste, så vi besluttede at give dem et kort overblik:
Denne sårbarhed udsætter brugere, der opretter forbindelse til en kompromitteret server, i fare. En angriber kan få kontrol over en brugers enhed eller få fodfæste i systemet for at få permanent fjernadgang.
- / /
Denne gruppe af sårbarheder gør det muligt for en uautoriseret angriber at eksternt udføre vilkårlig kode på en server, der kører RDS, ved hjælp af en specielt udformet anmodning. De kan også bruges til at skabe orme – malware, der uafhængigt inficerer naboenheder på netværket. Disse sårbarheder kan således bringe hele virksomhedens netværk i fare, og kun rettidige opdateringer kan redde dem.
Fjernadgangssoftware har fået øget opmærksomhed fra både forskere og angribere, så vi kan snart høre om flere lignende sårbarheder.
Den gode nyhed er, at ikke alle sårbarheder har offentlige udnyttelser tilgængelige. Den dårlige nyhed er, at det ikke vil være svært for en angriber med ekspertise at skrive en udnyttelse af en sårbarhed baseret på beskrivelsen eller ved at bruge teknikker som Patch Diffing (vores kolleger skrev om det i ). Derfor anbefaler vi, at du regelmæssigt opdaterer softwaren og overvåger udseendet af nye meddelelser om opdagede sårbarheder.
3. Angreb
Vi går videre til anden del af artiklen, hvor vi vil vise, hvordan angreb på netværksinfrastruktur baseret på Active Directory begynder.
De beskrevne metoder er anvendelige til følgende angribermodel: en angriber, der har en brugerkonto og har adgang til Remote Desktop Gateway - en terminalserver (ofte er den tilgængelig, for eksempel fra et eksternt netværk). Ved at bruge disse metoder vil angriberen være i stand til at fortsætte angrebet på infrastrukturen og konsolidere sin tilstedeværelse på netværket.
Netværkskonfigurationen i hvert enkelt tilfælde kan variere, men de beskrevne teknikker er ret universelle.
Eksempler på at forlade et begrænset miljø og øge privilegier
Når man får adgang til Remote Desktop Gateway, vil en hacker sandsynligvis støde på en form for begrænset miljø. Når du opretter forbindelse til en terminalserver, startes et program på den: et vindue til forbindelse via Remote Desktop-protokollen til interne ressourcer, Explorer, office-pakker eller anden software.
Angriberens mål vil være at få adgang til at udføre kommandoer, det vil sige at starte cmd eller powershell. Flere klassiske Windows-sandbox-escape-teknikker kan hjælpe med dette. Lad os overveje dem nærmere.
Mulighed 1. Angriberen har adgang til vinduet Remote Desktop-forbindelse i Remote Desktop Gateway:
Menuen "Vis indstillinger" åbnes. Der vises indstillinger for at manipulere forbindelseskonfigurationsfiler:
Fra dette vindue kan du nemt få adgang til Stifinder ved at klikke på en af knapperne "Åbn" eller "Gem":
Stifinder åbnes. Dens "adresselinje" gør det muligt at starte tilladte eksekverbare filer samt en liste over filsystemet. Dette kan være nyttigt for en hacker i tilfælde, hvor systemdrev er skjulte og ikke kan tilgås direkte:
→
Et lignende scenarie kan gengives, for eksempel ved brug af Excel fra Microsoft Office-pakken som fjernsoftware.
→
Derudover må du ikke glemme makroerne, der bruges i denne kontorpakke. Vores kolleger så på problemet med makrosikkerhed i dette .
Mulighed 2. Ved at bruge de samme input som i den tidligere version, starter angriberen flere forbindelser til fjernskrivebordet under den samme konto. Når du genopretter forbindelsen, lukkes den første, og et vindue med en fejlmeddelelse vises på skærmen. Hjælp-knappen i dette vindue vil kalde Internet Explorer på serveren, hvorefter angriberen kan gå til Explorer.
→
Mulighed 3. Hvis der er konfigureret restriktioner for at starte eksekverbare filer, kan en hacker støde på en situation, hvor gruppepolitikker forbyder administratoren at køre cmd.exe.
Der er en måde at omgå dette ved at køre en bat-fil på fjernskrivebordet med indhold som cmd.exe /K <kommando>. En fejl ved start af cmd og et vellykket eksempel på udførelse af en bat-fil er vist i figuren nedenfor.
Mulighed 4. At forbyde lancering af applikationer ved hjælp af sortlister baseret på navnet på eksekverbare filer er ikke et vidundermiddel; de kan omgås.
Overvej følgende scenarie: vi har deaktiveret adgang til kommandolinjen, forhindret lanceringen af Internet Explorer og PowerShell ved hjælp af gruppepolitikker. Angriberen forsøger at tilkalde hjælp - intet svar. Forsøger at starte powershell gennem kontekstmenuen i et modalt vindue, kaldet med Shift-tasten trykket - en meddelelse, der indikerer, at start er forbudt af administratoren. Forsøger at starte powershell gennem adresselinjen - igen intet svar. Hvordan omgås begrænsningen?
Det er nok at kopiere powershell.exe fra mappen C:WindowsSystem32WindowsPowerShellv1.0 til brugermappen, ændre navnet til noget andet end powershell.exe, og startmuligheden vises.
Som standard, når der oprettes forbindelse til et eksternt skrivebord, er der adgang til klientens lokale diske, hvorfra en angriber kan kopiere powershell.exe og køre den efter at have omdøbt den.
→
Vi har kun givet nogle få måder at omgå begrænsningerne på; du kan komme med mange flere scenarier, men de har alle én ting til fælles: adgang til Windows Stifinder. Der er mange applikationer, der bruger standard Windows-filmanipulationsværktøjer, og når de placeres i et begrænset miljø, kan lignende teknikker bruges.
4. Anbefalinger og konklusion
Som vi kan se, er der selv i et begrænset miljø plads til angrebsudvikling. Du kan dog gøre livet sværere for angriberen. Vi giver generelle anbefalinger, som vil være nyttige både i de muligheder, vi har overvejet, og i andre tilfælde.
- Begræns programstart til sort/hvide lister ved hjælp af gruppepolitikker.
I de fleste tilfælde er det dog fortsat muligt at køre koden. Vi anbefaler, at du sætter dig ind i projektet , for at have en idé om udokumenterede måder at manipulere filer og eksekvere kode på systemet.
Vi anbefaler at kombinere begge typer begrænsninger: for eksempel kan du tillade lancering af eksekverbare filer, der er signeret af Microsoft, men begrænse lanceringen af cmd.exe. - Deaktiver indstillingsfanerne i Internet Explorer (kan gøres lokalt i registreringsdatabasen).
- Deaktiver Windows indbygget hjælp via regedit.
- Deaktiver muligheden for at montere lokale diske til fjernforbindelser, hvis en sådan begrænsning ikke er kritisk for brugerne.
- Begræns adgangen til lokale drev på fjernmaskinen, og lad kun adgang til brugermapper.
Vi håber, at du i det mindste fandt det interessant, og maksimalt vil denne artikel hjælpe med at gøre din virksomheds fjernarbejde mere sikkert.
Kilde: www.habr.com