1. Enkonduko
Firmaoj, kiuj ne havis forajn alirsistemojn, urĝe deplojis ilin antaŭ kelkaj monatoj. Ne ĉiuj administrantoj estis pretaj por tia "varmo", kio rezultigis sekurecajn mankojn: malĝusta agordo de servoj aŭ eĉ instalado de malnoviĝintaj versioj de programaro kun antaŭe malkovritaj vundeblecoj. Por iuj, ĉi tiuj preterlasoj jam bumeranĝis, aliaj estis pli bonŝancaj, sed ĉiuj nepre devus eltiri konkludojn. Lojaleco al fora laboro pliiĝis eksponente, kaj pli kaj pli da kompanioj akceptas foran laboron kiel akcepteblan formaton daŭrante.
Do, ekzistas multaj ebloj por provizi foran aliron: diversaj VPN-oj, RDS kaj VNC, TeamViewer kaj aliaj. Administrantoj havas multe por elekti, surbaze de la specifaĵoj pri konstruado de kompania reto kaj aparatoj en ĝi. VPN-solvoj restas la plej popularaj, tamen multaj malgrandaj kompanioj elektas RDS (Remote Desktop Services), ili estas pli simplaj kaj pli rapide por disfaldi.
En ĉi tiu artikolo ni parolos pli pri RDS-sekureco. Ni faru mallongan superrigardon de konataj vundeblecoj, kaj ankaŭ konsideru plurajn scenarojn por lanĉi atakon al reto-infrastrukturo bazita sur Active Directory. Ni esperas, ke nia artikolo helpos iun labori pri cimoj kaj plibonigi sekurecon.
2. Lastatempaj vundeblecoj de RDS/RDP
Ajna programaro enhavas erarojn kaj vundeblecojn, kiuj povas esti ekspluatitaj de atakantoj, kaj RDS ne estas escepto. Mikrosofto ofte raportis novajn vundeblecojn lastatempe, do ni decidis doni al ili mallongan superrigardon:
Ĉi tiu vundebleco riskas uzantojn, kiuj konektas al kompromitita servilo. Atakanto povas akiri kontrolon de la aparato de uzanto aŭ akiri piedtenejon en la sistemo por havi permanentan malproksiman aliron.
- / /
Ĉi tiu grupo de vundeblecoj permesas al neaŭtentikigita atakanto malproksime ekzekuti arbitran kodon sur servilo prizorganta RDS uzante speciale kreitan peton. Ili ankaŭ povas esti uzataj por krei vermojn - malware kiu sendepende infektas najbarajn aparatojn en la reto. Tiel, ĉi tiuj vundeblecoj povas endanĝerigi la reton de la tuta kompanio, kaj nur ĝustatempaj ĝisdatigoj povas savi ilin.
Programaro de fora aliro ricevis plian atenton de esploristoj kaj atakantoj, do ni eble baldaŭ aŭdos pri pli similaj vundeblecoj.
La bona novaĵo estas, ke ne ĉiuj vundeblecoj havas publikajn ekspluatojn disponeblaj. La malbona novaĵo estas, ke ne estos malfacile por atakanto kun kompetenteco skribi ekspluatadon por vundebleco bazita sur la priskribo, aŭ uzante teknikojn kiel Patch Diffing (niaj kolegoj skribis pri ĝi en ). Tial ni rekomendas, ke vi regule ĝisdatigu la programaron kaj monitoru la aperon de novaj mesaĝoj pri malkovritaj vundeblecoj.
3. Atakoj
Ni pluiras al la dua parto de la artikolo, kie ni montros kiel komenciĝas atakoj al retaj infrastrukturoj bazitaj sur Active Directory.
La priskribitaj metodoj aplikeblas al la sekva modelo de atakanto: atakanto, kiu havas uzantkonton kaj havas aliron al la Remote Desktop Gateway - terminala servilo (ofte ĝi estas alirebla, ekzemple, de ekstera reto). Uzante ĉi tiujn metodojn, la atakanto povos daŭrigi la atakon sur la infrastrukturo kaj solidigi sian ĉeeston en la reto.
La reto-agordo en ĉiu specifa kazo povas malsami, sed la priskribitaj teknikoj estas sufiĉe universalaj.
Ekzemploj de forlasado de limigita medio kaj pliigo de privilegioj
Alirante la Remote Desktop Gateway, atakanto verŝajne renkontos ian limigitan medion. Kiam vi konektas al terminalservilo, aplikaĵo estas lanĉita sur ĝi: fenestro por konekti per la Protokolo de Remote Desktop por internaj rimedoj, Esplorilo, oficejaj pakoj aŭ ajna alia programaro.
La celo de la atakanto estos akiri aliron por ekzekuti komandojn, tio estas, lanĉi cmd aŭ powershell. Pluraj klasikaj Vindozaj sandbox-eskapteknikoj povas helpi kun tio. Ni konsideru ilin plu.
Eblo 1. La atakanto havas aliron al la Remote Desktop-konektofenestro ene de la Remote Desktop Gateway:
La menuo "Montri Opcioj" malfermiĝas. Opcioj aperas por manipuli konektajn agordajn dosierojn:
De ĉi tiu fenestro vi povas facile aliri Esplorilon alklakante iun el la butonoj "Malfermu" aŭ "Konservi":
Esplorilo malfermiĝas. Ĝia "adresbreto" ebligas lanĉi permesitajn ruleblajn dosierojn, kaj ankaŭ listigi la dosiersistemon. Ĉi tio povas esti utila por atakanto en kazoj kie sistemaj diskoj estas kaŝitaj kaj ne povas rekte aliri:
→
Simila scenaro povas esti reproduktita, ekzemple, kiam oni uzas Excel el la Microsoft Office-serio kiel fora programaro.
→
Krome, ne forgesu pri la makrooj uzataj en ĉi tiu oficeja aro. Niaj kolegoj rigardis la problemon de makrosekureco en ĉi tio .
Eblo 2. Uzante la samajn enigojn kiel en la antaŭa versio, la atakanto lanĉas plurajn konektojn al la fora labortablo sub la sama konto. Kiam vi rekonektos, la unua estos fermita, kaj fenestro kun erara sciigo aperos sur la ekrano. La helpbutono en ĉi tiu fenestro nomos Internet Explorer sur la servilo, post kio la atakanto povas iri al Esplorilo.
→
Eblo 3. Se limigoj pri lanĉo de ruleblaj dosieroj estas agordita, atakanto povas renkonti situacion kie gruppolitikoj malpermesas al la administranto ruli cmd.exe.
Estas maniero ĉirkaŭiri ĉi tion rulante bat-dosieron sur la fora labortablo kun enhavo kiel cmd.exe /K . Eraro dum lanĉado de cmd kaj sukcesa ekzemplo de ekzekuto de bat-dosiero estas montritaj en la suba figuro.
Eblo 4. Malpermeso de lanĉo de aplikaĵoj uzante nigrajn listojn bazitajn sur la nomo de ruleblaj dosieroj ne estas panaceo; ili povas esti evititaj.
Konsideru la sekvan scenaron: ni malfunkciigis aliron al la komandlinio, malhelpis la lanĉon de Interreto Explorer kaj PowerShell uzante gruppolitikojn. La atakanto provas voki helpon - neniu respondo. Provante lanĉi Powershell per la kunteksta menuo de modala fenestro, vokita kun la Majklavo premita - mesaĝo indikante ke lanĉo estas malpermesita de la administranto. Provas lanĉi Powershell tra la adresbreto - denove neniu respondo. Kiel preteriri la limigon?
Sufiĉas kopii powershell.exe el la dosierujo C:WindowsSystem32WindowsPowerShellv1.0 al la uzanta dosierujo, ŝanĝi la nomon al io alia ol powershell.exe, kaj aperos la lanĉa opcio.
Defaŭlte, kiam li konektas al fora labortablo, aliro al la lokaj diskoj de la kliento estas provizita, de kie atakanto povas kopii powershell.exe kaj ruli ĝin post renomado de ĝi.
→
Ni donis nur kelkajn manierojn preteriri la restriktojn; vi povas elpensi multajn pliajn scenarojn, sed ili ĉiuj havas unu komunan aferon: aliro al Windows Explorer. Estas multaj aplikoj, kiuj uzas normajn Vindozajn dosiero-manipulajn ilojn, kaj kiam ili estas metitaj en limigitan medion, similaj teknikoj povas esti uzataj.
4. Rekomendoj kaj konkludo
Kiel ni povas vidi, eĉ en limigita medio estas loko por ataka disvolviĝo. Tamen, vi povas malfaciligi la vivon al la atakanto. Ni provizas ĝeneralajn rekomendojn, kiuj estos utilaj kaj en la ebloj, kiujn ni pripensis, kaj en aliaj kazoj.
- Limigu programlanĉojn al nigraj/blankaj listoj uzante gruppolitikojn.
Plejofte, tamen, restas eble ruli la kodon. Ni rekomendas, ke vi konatiĝu kun la projekto , por havi ideon pri nedokumentitaj manieroj manipuli dosierojn kaj ekzekuti kodon en la sistemo.
Ni rekomendas kombini ambaŭ specojn de limigoj: ekzemple, vi povas permesi la lanĉon de ruleblaj dosieroj subskribitaj de Microsoft, sed limigi la lanĉon de cmd.exe. - Malebligu la agordajn langetojn de Interreto Explorer (fareblas loke en la registro).
- Malebligu enkonstruitan helpon de Vindozo per regedit.
- Malebligu la kapablon munti lokajn diskojn por foraj konektoj se tia limigo ne estas kritika por uzantoj.
- Limigu aliron al lokaj diskoj de la fora maŝino, lasante aliron nur al uzantdosierujoj.
Ni esperas, ke vi trovis ĝin almenaŭ interesa, kaj maksimume ĉi tiu artikolo helpos fari la fora laboro de via kompanio pli sekura.
fonto: www.habr.com