1. Esittely

Yritykset, joilla ei ollut etäkäyttöjärjestelmiä, ottivat ne pikaisesti käyttöön pari kuukautta sitten. Kaikki järjestelmänvalvojat eivät olleet valmistautuneet tällaiseen "kuumeeseen", joka johti tietoturvahäiriöihin: palveluiden virheellisiin määrityksiin tai jopa vanhentuneiden ohjelmistoversioiden asennukseen, jossa oli aiemmin havaittuja haavoittuvuuksia. Joillekin nämä laiminlyönnit ovat jo pudonneet, toiset olivat onnekkaampia, mutta kaikkien pitäisi ehdottomasti tehdä johtopäätökset. Uskollisuus etätyöhön on lisääntynyt räjähdysmäisesti, ja yhä useammat yritykset hyväksyvät etätyön jatkuvasti hyväksyttäväksi muodoksi.

Joten etäkäytön tarjoamiseen on monia vaihtoehtoja: erilaiset VPN: t, RDS ja VNC, TeamViewer ja muut. Ylläpitäjillä on paljon valinnanvaraa yritysverkon rakentamisen ja siinä olevien laitteiden erityispiirteiden perusteella. VPN-ratkaisut ovat edelleen suosituimpia, mutta monet pienet yritykset valitsevat RDS:n (Remote Desktop Services), ne ovat yksinkertaisempia ja nopeampia ottaa käyttöön.

Tässä artikkelissa puhumme lisää RDS-turvallisuudesta. Tehdään lyhyt yleiskatsaus tunnetuista haavoittuvuuksista ja pohditaan myös useita skenaarioita hyökkäyksen käynnistämiseksi Active Directoryyn perustuvaa verkkoinfrastruktuuria vastaan. Toivomme, että artikkelimme auttaa jotakuta työskentelemään virheiden parissa ja parantamaan turvallisuutta.

2. Viimeaikaiset RDS/RDP-haavoittuvuudet

Kaikki ohjelmistot sisältävät virheitä ja haavoittuvuuksia, joita hyökkääjät voivat hyödyntää, eikä RDS ole poikkeus. Microsoft on raportoinut viime aikoina usein uusista haavoittuvuuksista, joten päätimme antaa heille lyhyen yleiskatsauksen:

• CVE-2019-0787

Tämä haavoittuvuus asettaa vaarantuneeseen palvelimeen yhteyden muodostavat käyttäjät vaaraan. Hyökkääjä voi saada käyttäjän laitteen hallintaansa tai saada jalansijan järjestelmään saadakseen pysyvän etäkäytön.

• CVE-2019-1181 / CVE-2019-1182 / CVE-2020-0609

Tämän haavoittuvuuksien ryhmän avulla todentamaton hyökkääjä voi suorittaa mielivaltaisen koodin etäyhteyden kautta RDS:ää käyttävällä palvelimella käyttämällä erityistä pyyntöä. Niitä voidaan myös käyttää luomaan matoja – haittaohjelmia, jotka saastuttavat itsenäisesti verkon viereisiä laitteita. Näin ollen nämä haavoittuvuudet voivat vaarantaa koko yrityksen verkon, ja vain oikea-aikaiset päivitykset voivat pelastaa ne.

Etäkäyttöohjelmistot ovat saaneet lisää huomiota sekä tutkijoilta että hyökkääjiltä, ​​joten saatamme pian kuulla lisää samankaltaisista haavoittuvuuksista.

Hyvä uutinen on, että kaikilla haavoittuvuuksilla ei ole julkisia hyväksikäyttöjä. Huono uutinen on, että asiantuntevan hyökkääjän ei ole vaikeaa kirjoittaa haavoittuvuuden hyväksikäyttöä kuvauksen perusteella tai käyttämällä tekniikoita, kuten Patch Diffing (kollegamme kirjoittivat siitä статье). Siksi suosittelemme, että päivität ohjelmiston säännöllisesti ja seuraat uusien viestien ilmestymistä löydetyistä haavoittuvuuksista.

3. Hyökkäykset

Siirrymme artikkelin toiseen osaan, jossa näytämme, kuinka Active Directoryyn perustuvat verkkoinfrastruktuurin hyökkäykset alkavat.

Kuvatut menetelmät soveltuvat seuraavaan hyökkääjämalliin: hyökkääjä, jolla on käyttäjätili ja jolla on pääsy etätyöpöytäyhdyskäytävään - päätepalvelin (usein se on käytettävissä esimerkiksi ulkoisesta verkosta). Näitä menetelmiä käyttämällä hyökkääjä voi jatkaa hyökkäystä infrastruktuuria vastaan ​​ja vahvistaa läsnäoloaan verkossa.

Verkkokokoonpano kussakin tapauksessa voi vaihdella, mutta kuvatut tekniikat ovat melko yleisiä.

Esimerkkejä rajoitetusta ympäristöstä poistumisesta ja oikeuksien lisäämisestä

Kun hyökkääjä käyttää etätyöpöytäyhdyskäytävää, hän kohtaa todennäköisesti jonkinlaisen rajoitetun ympäristön. Kun muodostat yhteyden päätepalvelimeen, siinä käynnistetään sovellus: ikkuna Remote Desktop-protokollan kautta yhdistämistä varten sisäisille resursseille, Explorerille, toimistopaketteille tai muille ohjelmistoille.

Hyökkääjän tavoitteena on päästä suorittamaan komentoja, eli käynnistää cmd tai powershell. Useat klassiset Windowsin hiekkalaatikon pakotekniikat voivat auttaa tässä. Pohditaanpa niitä tarkemmin.

Vaihtoehto 1. Hyökkääjällä on pääsy etätyöpöytäyhteysikkunaan Remote Desktop Gatewayssa:

"Näytä asetukset" -valikko avautuu. Näkyviin tulee vaihtoehtoja yhteyden määritystiedostojen käsittelyyn:

Tästä ikkunasta pääset helposti Exploreriin napsauttamalla mitä tahansa "Avaa"- tai "Tallenna"-painiketta:

Explorer avautuu. Sen "osoitepalkki" mahdollistaa sallittujen suoritettavien tiedostojen käynnistämisen sekä tiedostojärjestelmän luetteloimisen. Tästä voi olla hyötyä hyökkääjälle tapauksissa, joissa järjestelmäasemat ovat piilossa eikä niihin voi päästä suoraan:

→ Demo video

Samanlainen skenaario voidaan toistaa esimerkiksi käytettäessä Microsoft Office -ohjelmiston Exceliä etäohjelmistona.

→ Demo video

Älä myöskään unohda tässä toimistopaketissa käytettyjä makroja. Kollegamme tarkastelivat tässä makroturvallisuuden ongelmaa статье.

Vaihtoehto 2. Käyttämällä samoja syötteitä kuin edellisessä versiossa, hyökkääjä käynnistää useita yhteyksiä etätyöpöytään samalla tilillä. Kun muodostat yhteyden uudelleen, ensimmäinen suljetaan ja näyttöön tulee virheilmoitusikkuna. Tämän ikkunan ohjepainike kutsuu palvelimen Internet Explorerin, minkä jälkeen hyökkääjä voi siirtyä Exploreriin.

→ Demo video

Vaihtoehto 3. Jos rajoituksia suoritettavien tiedostojen käynnistämiselle on määritetty, hyökkääjä voi kohdata tilanteen, jossa ryhmäkäytännöt estävät järjestelmänvalvojaa suorittamasta cmd.exe-tiedostoa.

On olemassa tapa kiertää tämä ajamalla etätyöpöydällä bat-tiedosto, jonka sisältö on kuten cmd.exe /K <komento>. Virhe käynnistettäessä cmd ja onnistunut esimerkki bat-tiedoston suorittamisesta näkyy alla olevassa kuvassa.

Vaihtoehto 4. Sovellusten käynnistämisen kieltäminen mustilla listoilla suoritettavien tiedostojen nimien perusteella ei ole ihmelääke, vaan ne voidaan kiertää.

Harkitse seuraavaa tilannetta: olemme estäneet komentorivin käytön, estäneet Internet Explorerin ja PowerShellin käynnistämisen ryhmäkäytäntöjen avulla. Hyökkääjä yrittää kutsua apua - ei vastausta. Powershellin käynnistäminen modaaliikkunan kontekstivalikon kautta, jota kutsutaan Shift-näppäintä painettuna - viesti, joka osoittaa, että järjestelmänvalvoja on kieltänyt käynnistämisen. Yrittää käynnistää powershellin osoitepalkin kautta - ei taaskaan vastausta. Kuinka kiertää rajoitus?

Riittää, kun kopioit powershell.exe-tiedoston C:WindowsSystem32WindowsPowerShellv1.0-kansiosta käyttäjäkansioon, muutat nimeksi jotain muuta kuin powershell.exe, niin käynnistysvaihtoehto tulee näkyviin.

Oletusarvoisesti, kun muodostat yhteyden etätyöpöytään, pääsy asiakkaan paikallisille levyille tarjotaan, josta hyökkääjä voi kopioida powershell.exe-tiedoston ja suorittaa sen uudelleen nimeämisen jälkeen.

→ Demo video

Olemme antaneet vain muutamia tapoja ohittaa rajoitukset; voit keksiä monia muita skenaarioita, mutta niillä kaikilla on yksi yhteinen piirre: pääsy Windows Exploreriin. On monia sovelluksia, jotka käyttävät tavallisia Windowsin tiedostojenkäsittelytyökaluja, ja kun ne sijoitetaan rajoitettuun ympäristöön, samanlaisia ​​tekniikoita voidaan käyttää.

4. Suositukset ja johtopäätös

Kuten näemme, myös rajoitetussa ympäristössä on tilaa hyökkäyskehitykselle. Voit kuitenkin tehdä hyökkääjän elämästä vaikeampaa. Annamme yleisiä suosituksia, joista on hyötyä sekä harkitsemissamme vaihtoehdoissa että muissa tapauksissa.

• Rajoita ohjelmien käynnistykset mustiin/valkoisiin listoihin ryhmäkäytäntöjen avulla.
  Useimmissa tapauksissa koodin suorittaminen on kuitenkin edelleen mahdollista. Suosittelemme tutustumaan projektiin LOLBAS, saada käsitys dokumentoimattomista tavoista käsitellä tiedostoja ja suorittaa koodia järjestelmässä.
  Suosittelemme molempien rajoitusten yhdistämistä: voit esimerkiksi sallia Microsoftin allekirjoittamien suoritettavien tiedostojen käynnistämisen, mutta rajoittaa cmd.exe-tiedoston käynnistämistä.
• Poista Internet Explorerin asetusvälilehdet käytöstä (voidaan tehdä paikallisesti rekisterissä).
• Poista Windowsin sisäänrakennettu ohje käytöstä regeditin kautta.
• Poista käytöstä mahdollisuus liittää paikallisia levyjä etäyhteyksiä varten, jos tällainen rajoitus ei ole kriittinen käyttäjille.
• Rajoita etäkoneen paikallisten asemien käyttöä jättämällä pääsy vain käyttäjäkansioihin.

Toivomme, että pidit siitä ainakin mielenkiintoisena, ja korkeintaan tämä artikkeli auttaa tekemään yrityksesi etätyöstä turvallisempaa.

Lähde: will.com