1. Sissejuhatus
Ettevõtted, kellel polnud kaugjuurdepääsusüsteeme, võtsid need paar kuud tagasi kiiresti kasutusele. Mitte kõik administraatorid polnud selliseks "kuumuseks" valmis, mis tõi kaasa turvaprobleemid: teenuste vale konfigureerimine või isegi tarkvara vananenud versioonide installimine varem avastatud haavatavustega. Mõne jaoks on need tegematajätmised juba bumerangi läinud, teistel vedas rohkem, aga järeldused peaksid kindlasti kõik tegema. Lojaalsus kaugtööle on hüppeliselt kasvanud ning üha enam ettevõtteid aktsepteerib kaugtööd kui vastuvõetavat vormingut jooksvalt.
Seega on kaugjuurdepääsu pakkumiseks palju võimalusi: erinevad VPN-id, RDS ja VNC, TeamViewer ja teised. Administraatoritel on palju valida, lähtudes ettevõtte võrgu ja selles sisalduvate seadmete ülesehitamise spetsiifikast. VPN-lahendused on endiselt populaarseimad, kuid paljud väikeettevõtted valivad RDS-i (Remote Desktop Services), neid on lihtsam ja kiirem juurutada.
Selles artiklis räägime RDS-turvalisusest lähemalt. Teeme lühiülevaate teadaolevatest haavatavustest ning vaatleme ka mitmeid stsenaariume Active Directoryl põhineva võrguinfrastruktuuri vastu ründe käivitamiseks. Loodame, et meie artikkel aitab kellelgi vigade kallal töötada ja turvalisust parandada.
2. Hiljutised RDS/RDP haavatavused
Iga tarkvara sisaldab vigu ja turvaauke, mida ründajad saavad ära kasutada ning RDS pole erand. Microsoft on viimasel ajal sageli teatanud uutest turvaaukudest, mistõttu otsustasime anda neile lühikese ülevaate:
See haavatavus seab ohtu kasutajad, kes loovad ühenduse ohustatud serveriga. Ründaja võib saada kontrolli kasutaja seadme üle või saada süsteemis jalad alalise kaugjuurdepääsu saamiseks.
- / /
See haavatavuste rühm võimaldab autentimata ründajal spetsiaalselt koostatud päringu abil kaugkäivitada suvalist koodi RDS-i käitavas serveris. Neid saab kasutada ka usside loomiseks – pahavara, mis nakatab iseseisvalt võrgu naaberseadmeid. Seega võivad need haavatavused ohustada kogu ettevõtte võrku ja ainult õigeaegsed värskendused võivad neid päästa.
Kaugjuurdepääsu tarkvara on pälvinud nii teadlaste kui ka ründajate suuremat tähelepanu, mistõttu võime peagi kuulda sarnastest turvaaukudest.
Hea uudis on see, et kõigi haavatavuste puhul ei ole avalikke ärakasutusi saadaval. Halb uudis on see, et asjatundlikul ründajal ei ole keeruline kirjelduse põhjal haavatavuse ärakasutamist kirjutada või kasutada selliseid tehnikaid nagu Patch Diffing (meie kolleegid kirjutasid sellest ). Seetõttu soovitame teil tarkvara regulaarselt värskendada ja jälgida uute teadete ilmumist avastatud turvaaukude kohta.
3. Rünnakud
Liigume edasi artikli teise osa juurde, kus näitame, kuidas algavad Active Directoryl põhinevad rünnakud võrgutaristu vastu.
Kirjeldatud meetodid on rakendatavad järgmise ründaja mudeli puhul: ründaja, kellel on kasutajakonto ja kellel on juurdepääs Remote Desktop Gatewayle - terminaliserverile (sageli on see juurdepääsetav näiteks välisvõrgust). Neid meetodeid kasutades saab ründaja jätkata rünnakut infrastruktuuri vastu ja tugevdada oma kohalolekut võrgus.
Võrgu konfiguratsioon võib igal konkreetsel juhul erineda, kuid kirjeldatud tehnikad on üsna universaalsed.
Näited piiratud keskkonnast lahkumise ja õiguste suurendamise kohta
Remote Desktop Gateway'ile juurdepääsul puutub ründaja tõenäoliselt kokku mingisuguse piiratud keskkonnaga. Kui loote ühenduse terminaliserveriga, käivitatakse selles rakendus: aken sisemiste ressursside, Exploreri, kontoripakettide või muu tarkvara jaoks Remote Desktopi protokolli kaudu ühenduse loomiseks.
Ründaja eesmärk on saada juurdepääs käskude täitmisele, st käivitada cmd või powershell. Selles võivad aidata mitmed klassikalised Windowsi liivakasti põgenemismeetodid. Vaatleme neid lähemalt.
Valik 1. Ründajal on kaugtöölaua lüüsis juurdepääs kaugtöölaua ühenduse aknale:
Avaneb menüü "Kuva valikud". Ühenduse konfiguratsioonifailidega manipuleerimiseks kuvatakse valikud:
Sellest aknast pääsete hõlpsalt juurde Explorerile, klõpsates mis tahes nuppu "Ava" või "Salvesta".
Explorer avaneb. Selle "aadressiriba" võimaldab käivitada lubatud käivitatavaid faile ja loetleda failisüsteemi. See võib olla ründajale kasulik juhtudel, kui süsteemidraivid on peidetud ja neile ei saa otse juurde pääseda:
→
Sarnast stsenaariumi saab korrata näiteks kaugtarkvarana Microsoft Office'i komplekti Exceli kasutamisel.
→
Lisaks ärge unustage selles kontorikomplektis kasutatavaid makrosid. Meie kolleegid vaatasid selles makroturbe probleemi .
Valik 2. Kasutades samu sisendeid nagu eelmises versioonis, loob ründaja sama konto all mitu ühendust kaugtöölauaga. Uuesti ühendamisel suletakse esimene ja ekraanile ilmub veateatisega aken. Selles aknas olev abinupp helistab serveris Internet Explorerile, misjärel saab ründaja minna Explorerisse.
→
Valik 3. Kui käivitatavate failide käivitamise piirangud on konfigureeritud, võib ründajal tekkida olukord, kus rühmapoliitikad keelavad administraatoril cmd.exe käivitamise.
Sellest saab mööda, käivitades kaugtöölaual bat-faili, mille sisu on näiteks cmd.exe /K <käsk>. Alloleval joonisel on näidatud viga cmd käivitamisel ja bat-faili käivitamise edukas näide.
Valik 4. Rakenduste käivitamise keelamine käivitatavate failide nime alusel mustade nimekirjadega ei ole imerohi, neist saab mööda hiilida.
Mõelge järgmisele stsenaariumile: oleme keelanud juurdepääsu käsureale, takistanud Internet Exploreri ja PowerShelli käivitamist rühmapoliitika abil. Ründaja proovib abi kutsuda – ei reageeri. Powershelli käivitamine modaalakna kontekstimenüü kaudu, mida kutsutakse Shift-klahvi vajutamisel - teade, mis näitab, et administraator on käivitamise keelanud. Proovib käivitada powershelli aadressiriba kaudu – jällegi ei reageerita. Kuidas piirangust mööda minna?
Piisab, kui kopeerida powershell.exe kaustast C:WindowsSystem32WindowsPowerShellv1.0 kasutaja kausta, muuta nimi millekski muuks kui powershell.exe ja kuvatakse käivitamisvalik.
Vaikimisi on kaugtöölauaga ühenduse loomisel juurdepääs kliendi kohalikele ketastele, kust ründaja saab kopeerida faili powershell.exe ja käivitada selle pärast ümbernimetamist.
→
Oleme andnud vaid mõned viisid piirangutest mööda hiilimiseks; võite välja mõelda palju rohkem stsenaariume, kuid neil kõigil on üks ühine joon: juurdepääs Windows Explorerile. On palju rakendusi, mis kasutavad standardseid Windowsi failitöötlustööriistu ja piiratud keskkonda paigutatuna saab kasutada sarnaseid tehnikaid.
4. Soovitused ja järeldus
Nagu näeme, on isegi piiratud keskkonnas ruumi rünnakute arendamiseks. Küll aga võid ründaja elu keerulisemaks teha. Anname üldisi soovitusi, mis on kasulikud nii meie poolt kaalutud võimaluste puhul kui ka muudel juhtudel.
- Piirake programmi käivitamist mustade/valgete nimekirjadega, kasutades rühmapoliitikaid.
Enamasti on siiski võimalik koodi käivitada. Soovitame teil projektiga tutvuda , et omada ettekujutust failidega manipuleerimise ja süsteemis koodi käivitamise dokumenteerimata viisidest.
Soovitame kombineerida mõlemat tüüpi piiranguid: näiteks saate lubada Microsofti allkirjastatud täitmisfailide käivitamise, kuid piirata cmd.exe käivitamist. - Keela Internet Exploreri sätete vahekaardid (saab teha registris kohapeal).
- Keelake Windowsi sisseehitatud spikker regediti kaudu.
- Keelake kaugühenduste jaoks kohalike ketaste ühendamise võimalus, kui selline piirang pole kasutajate jaoks kriitiline.
- Piirake juurdepääsu kaugmasina kohalikele draividele, jättes juurdepääsu ainult kasutaja kaustadele.
Loodame, et see oli teile vähemalt huvitav ja maksimaalselt aitab see artikkel teie ettevõtte kaugtöö turvalisemaks muuta.
Allikas: www.habr.com