1. Εισαγωγή
Οι εταιρείες που δεν διέθεταν συστήματα απομακρυσμένης πρόσβασης τα ανέπτυξαν επειγόντως πριν από μερικούς μήνες. Δεν ήταν όλοι οι διαχειριστές προετοιμασμένοι για μια τέτοια «θερμότητα», η οποία είχε ως αποτέλεσμα κενά ασφαλείας: εσφαλμένη διαμόρφωση των υπηρεσιών ή ακόμα και εγκατάσταση ξεπερασμένων εκδόσεων λογισμικού με ευπάθειες που είχαν ανακαλυφθεί προηγουμένως. Για κάποιους, αυτές οι παραλείψεις έχουν ήδη μπούμερανγκ, άλλοι ήταν πιο τυχεροί, αλλά σίγουρα όλοι θα πρέπει να βγάλουν συμπεράσματα. Η αφοσίωση στην απομακρυσμένη εργασία έχει αυξηθεί εκθετικά και όλο και περισσότερες εταιρείες αποδέχονται την εξ αποστάσεως εργασία ως αποδεκτή μορφή σε συνεχή βάση.
Έτσι, υπάρχουν πολλές επιλογές για την παροχή απομακρυσμένης πρόσβασης: διάφορα VPN, RDS και VNC, TeamViewer και άλλα. Οι διαχειριστές έχουν πολλά να διαλέξουν, με βάση τις ιδιαιτερότητες της δημιουργίας ενός εταιρικού δικτύου και συσκευών σε αυτό. Οι λύσεις VPN παραμένουν οι πιο δημοφιλείς, ωστόσο, πολλές μικρές εταιρείες επιλέγουν RDS (Remote Desktop Services), είναι απλούστερες και ταχύτερες στην ανάπτυξη.
Σε αυτό το άρθρο θα μιλήσουμε περισσότερα για την ασφάλεια RDS. Ας κάνουμε μια σύντομη επισκόπηση των γνωστών τρωτών σημείων και ας εξετάσουμε επίσης διάφορα σενάρια για την έναρξη μιας επίθεσης σε μια υποδομή δικτύου που βασίζεται στην υπηρεσία καταλόγου Active Directory. Ελπίζουμε ότι το άρθρο μας θα βοηθήσει κάποιον να αντιμετωπίσει σφάλματα και να βελτιώσει την ασφάλεια.
2. Πρόσφατα τρωτά σημεία RDS/RDP
Οποιοδήποτε λογισμικό περιέχει σφάλματα και τρωτά σημεία που μπορούν να εκμεταλλευτούν οι εισβολείς και το RDS δεν αποτελεί εξαίρεση. Η Microsoft αναφέρει συχνά νέα τρωτά σημεία τον τελευταίο καιρό, οπότε αποφασίσαμε να τους δώσουμε μια σύντομη επισκόπηση:
Αυτή η ευπάθεια θέτει σε κίνδυνο τους χρήστες που συνδέονται σε έναν παραβιασμένο διακομιστή. Ένας εισβολέας μπορεί να αποκτήσει τον έλεγχο της συσκευής ενός χρήστη ή να αποκτήσει βάση στο σύστημα για να έχει μόνιμη απομακρυσμένη πρόσβαση.
- / /
Αυτή η ομάδα τρωτών σημείων επιτρέπει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να εκτελεί εξ αποστάσεως αυθαίρετο κώδικα σε έναν διακομιστή που εκτελεί RDS χρησιμοποιώντας ένα ειδικά διαμορφωμένο αίτημα. Μπορούν επίσης να χρησιμοποιηθούν για τη δημιουργία σκουληκιών—κακόβουλο λογισμικό που μολύνει ανεξάρτητα γειτονικές συσκευές στο δίκτυο. Έτσι, αυτές οι ευπάθειες μπορούν να θέσουν σε κίνδυνο ολόκληρο το δίκτυο της εταιρείας και μόνο οι έγκαιρες ενημερώσεις μπορούν να τις σώσουν.
Το λογισμικό απομακρυσμένης πρόσβασης έχει λάβει αυξημένη προσοχή τόσο από ερευνητές όσο και από εισβολείς, επομένως ενδέχεται σύντομα να ακούσουμε για περισσότερα παρόμοια τρωτά σημεία.
Τα καλά νέα είναι ότι δεν έχουν όλα τα τρωτά σημεία διαθέσιμα δημόσια εκμετάλλευση. Τα κακά νέα είναι ότι δεν θα είναι δύσκολο για έναν εισβολέα με εμπειρία να γράψει ένα exploit για μια ευπάθεια με βάση την περιγραφή ή χρησιμοποιώντας τεχνικές όπως το Patch Diffing (οι συνάδελφοί μας έγραψαν σχετικά στο ). Επομένως, συνιστούμε να ενημερώνετε τακτικά το λογισμικό και να παρακολουθείτε την εμφάνιση νέων μηνυμάτων σχετικά με ευπάθειες που εντοπίστηκαν.
3. Επιθέσεις
Προχωράμε στο δεύτερο μέρος του άρθρου, όπου θα δείξουμε πώς ξεκινούν οι επιθέσεις σε υποδομές δικτύου που βασίζονται στην υπηρεσία καταλόγου Active Directory.
Οι περιγραφόμενες μέθοδοι ισχύουν για το ακόλουθο μοντέλο εισβολέα: ένας εισβολέας που έχει λογαριασμό χρήστη και έχει πρόσβαση στην πύλη απομακρυσμένης επιφάνειας εργασίας - έναν τερματικό διακομιστή (συχνά είναι προσβάσιμος, για παράδειγμα, από εξωτερικό δίκτυο). Χρησιμοποιώντας αυτές τις μεθόδους, ο εισβολέας θα μπορεί να συνεχίσει την επίθεση στην υποδομή και να εδραιώσει την παρουσία του στο δίκτυο.
Η διαμόρφωση του δικτύου σε κάθε συγκεκριμένη περίπτωση μπορεί να διαφέρει, αλλά οι τεχνικές που περιγράφονται είναι αρκετά καθολικές.
Παραδείγματα αποχώρησης από περιορισμένο περιβάλλον και αύξησης των προνομίων
Κατά την πρόσβαση στην πύλη απομακρυσμένης επιφάνειας εργασίας, ένας εισβολέας πιθανότατα θα συναντήσει κάποιο είδος περιορισμένου περιβάλλοντος. Όταν συνδέεστε σε έναν τερματικό διακομιστή, εκκινείται μια εφαρμογή σε αυτόν: ένα παράθυρο για σύνδεση μέσω του πρωτοκόλλου Remote Desktop για εσωτερικούς πόρους, Explorer, πακέτα γραφείου ή οποιοδήποτε άλλο λογισμικό.
Στόχος του εισβολέα θα είναι να αποκτήσει πρόσβαση για να εκτελέσει εντολές, δηλαδή να ξεκινήσει το cmd ή το powershell. Πολλές κλασικές τεχνικές διαφυγής sandbox των Windows μπορούν να βοηθήσουν σε αυτό. Ας τα εξετάσουμε περαιτέρω.
Επιλογή 1. Ο εισβολέας έχει πρόσβαση στο παράθυρο σύνδεσης απομακρυσμένης επιφάνειας εργασίας εντός της πύλης απομακρυσμένης επιφάνειας εργασίας:
Ανοίγει το μενού "Εμφάνιση επιλογών". Εμφανίζονται επιλογές για το χειρισμό των αρχείων διαμόρφωσης σύνδεσης:
Από αυτό το παράθυρο μπορείτε εύκολα να αποκτήσετε πρόσβαση στον Explorer κάνοντας κλικ σε οποιοδήποτε από τα κουμπιά «Άνοιγμα» ή «Αποθήκευση»:
Ανοίγει ο Explorer. Η «γραμμή διευθύνσεών» του καθιστά δυνατή την εκκίνηση επιτρεπόμενων εκτελέσιμων αρχείων, καθώς και την καταχώριση του συστήματος αρχείων. Αυτό μπορεί να είναι χρήσιμο για έναν εισβολέα σε περιπτώσεις όπου οι μονάδες δίσκου συστήματος είναι κρυφές και δεν είναι δυνατή η άμεση πρόσβαση:
→
Ένα παρόμοιο σενάριο μπορεί να αναπαραχθεί, για παράδειγμα, όταν χρησιμοποιείτε το Excel από τη σουίτα του Microsoft Office ως απομακρυσμένο λογισμικό.
→
Επιπλέον, μην ξεχνάτε τις μακροεντολές που χρησιμοποιούνται σε αυτήν τη σουίτα γραφείου. Οι συνάδελφοί μας εξέτασαν το πρόβλημα της ασφάλειας μακροεντολών σε αυτό .
Επιλογή 2. Χρησιμοποιώντας τις ίδιες εισόδους όπως στην προηγούμενη έκδοση, ο εισβολέας εκκινεί πολλές συνδέσεις στην απομακρυσμένη επιφάνεια εργασίας με τον ίδιο λογαριασμό. Όταν επανασυνδεθείτε, το πρώτο θα κλείσει και στην οθόνη θα εμφανιστεί ένα παράθυρο με ειδοποίηση σφάλματος. Το κουμπί βοήθειας σε αυτό το παράθυρο θα καλέσει τον Internet Explorer στον διακομιστή, μετά τον οποίο ο εισβολέας μπορεί να μεταβεί στον Explorer.
→
Επιλογή 3. Εάν έχουν ρυθμιστεί περιορισμοί για την εκκίνηση εκτελέσιμων αρχείων, ένας εισβολέας μπορεί να αντιμετωπίσει μια κατάσταση όπου οι πολιτικές ομάδας απαγορεύουν στον διαχειριστή να εκτελεί το cmd.exe.
Υπάρχει ένας τρόπος να το ξεπεράσετε αυτό εκτελώντας ένα αρχείο bat στην απομακρυσμένη επιφάνεια εργασίας με περιεχόμενο όπως cmd.exe /K <command>. Ένα σφάλμα κατά την εκκίνηση του cmd και ένα επιτυχημένο παράδειγμα εκτέλεσης ενός αρχείου bat φαίνεται στο παρακάτω σχήμα.
Επιλογή 4. Η απαγόρευση της εκκίνησης εφαρμογών που χρησιμοποιούν μαύρες λίστες με βάση το όνομα των εκτελέσιμων αρχείων δεν είναι πανάκεια· μπορούν να παρακαμφθούν.
Εξετάστε το ακόλουθο σενάριο: απενεργοποιήσαμε την πρόσβαση στη γραμμή εντολών, αποτρέψαμε την εκκίνηση του Internet Explorer και του PowerShell χρησιμοποιώντας πολιτικές ομάδας. Ο εισβολέας προσπαθεί να καλέσει για βοήθεια - καμία απάντηση. Προσπάθεια εκκίνησης του powershell μέσω του μενού περιβάλλοντος ενός παραθύρου, που καλείται με πατημένο το πλήκτρο Shift - ένα μήνυμα που υποδεικνύει ότι η εκκίνηση απαγορεύεται από τον διαχειριστή. Προσπαθεί να εκκινήσει το powershell μέσω της γραμμής διευθύνσεων - και πάλι καμία απάντηση. Πώς να παρακάμψετε τον περιορισμό;
Αρκεί να αντιγράψετε το powershell.exe από το φάκελο C:WindowsSystem32WindowsPowerShellv1.0 στο φάκελο χρήστη, να αλλάξετε το όνομα σε κάτι διαφορετικό από το powershell.exe και θα εμφανιστεί η επιλογή εκκίνησης.
Από προεπιλογή, κατά τη σύνδεση σε απομακρυσμένη επιφάνεια εργασίας, παρέχεται πρόσβαση στους τοπικούς δίσκους του πελάτη, από όπου ένας εισβολέας μπορεί να αντιγράψει το powershell.exe και να το εκτελέσει αφού το μετονομάσει.
→
Δώσαμε μόνο μερικούς τρόπους για να παρακάμψετε τους περιορισμούς· μπορείτε να βρείτε πολλά περισσότερα σενάρια, αλλά όλα έχουν ένα κοινό χαρακτηριστικό: πρόσβαση στην Εξερεύνηση των Windows. Υπάρχουν πολλές εφαρμογές που χρησιμοποιούν τυπικά εργαλεία χειρισμού αρχείων των Windows και όταν τοποθετούνται σε περιορισμένο περιβάλλον, μπορούν να χρησιμοποιηθούν παρόμοιες τεχνικές.
4. Συστάσεις και συμπεράσματα
Όπως μπορούμε να δούμε, ακόμη και σε ένα περιορισμένο περιβάλλον υπάρχει χώρος για ανάπτυξη επίθεσης. Ωστόσο, μπορείτε να κάνετε τη ζωή πιο δύσκολη για τον επιθετικό. Παρέχουμε γενικές συστάσεις που θα είναι χρήσιμες τόσο στις επιλογές που έχουμε εξετάσει όσο και σε άλλες περιπτώσεις.
- Περιορίστε την εκκίνηση του προγράμματος σε ασπρόμαυρες λίστες χρησιμοποιώντας πολιτικές ομάδας.
Στις περισσότερες περιπτώσεις, ωστόσο, παραμένει δυνατή η εκτέλεση του κώδικα. Σας συνιστούμε να εξοικειωθείτε με το έργο , για να έχετε μια ιδέα για μη τεκμηριωμένους τρόπους χειρισμού αρχείων και εκτέλεσης κώδικα στο σύστημα.
Συνιστούμε να συνδυάσετε και τους δύο τύπους περιορισμών: για παράδειγμα, μπορείτε να επιτρέψετε την εκκίνηση εκτελέσιμων αρχείων υπογεγραμμένων από τη Microsoft, αλλά να περιορίσετε την εκκίνηση του cmd.exe. - Απενεργοποιήστε τις καρτέλες ρυθμίσεων του Internet Explorer (μπορεί να γίνει τοπικά στο μητρώο).
- Απενεργοποιήστε την ενσωματωμένη βοήθεια των Windows μέσω regedit.
- Απενεργοποιήστε τη δυνατότητα τοποθέτησης τοπικών δίσκων για απομακρυσμένες συνδέσεις, εάν αυτός ο περιορισμός δεν είναι κρίσιμος για τους χρήστες.
- Περιορίστε την πρόσβαση στις τοπικές μονάδες δίσκου του απομακρυσμένου μηχανήματος, αφήνοντας την πρόσβαση μόνο στους φακέλους χρηστών.
Ελπίζουμε ότι το βρήκατε τουλάχιστον ενδιαφέρον και, το πολύ, αυτό το άρθρο θα σας βοηθήσει να κάνετε την απομακρυσμένη εργασία της εταιρείας σας ασφαλέστερη.
Πηγή: www.habr.com