1. Ներածություն
Ընկերությունները, որոնք չունեին հեռահար մուտքի համակարգեր, հրատապ կերպով տեղադրեցին դրանք մի քանի ամիս առաջ: Ոչ բոլոր ադմինիստրատորներն էին պատրաստ նման «շոգին», ինչը հանգեցրեց անվտանգության խափանումների՝ ծառայությունների սխալ կազմաձևում կամ նույնիսկ ծրագրային ապահովման հնացած տարբերակների տեղադրում՝ նախկինում հայտնաբերված խոցելիություններով: Ոմանց համար այս բացթողումներն արդեն բումերանգ են դարձել, ոմանց համար ավելի բախտավոր են եղել, բայց բոլորը պետք է անպայման հետեւություններ անեն։ Հավատարմությունը հեռավոր աշխատանքին երկրաչափականորեն աճել է, և ավելի ու ավելի շատ ընկերություններ ընդունում են հեռավար աշխատանքը որպես ընդունելի ձևաչափ մշտական հիմունքներով:
Այսպիսով, կան բազմաթիվ տարբերակներ հեռավոր մուտք ապահովելու համար՝ տարբեր VPN-ներ, RDS և VNC, TeamViewer և այլն: Ադմինիստրատորները ընտրելու շատ բան ունեն՝ հիմնվելով կորպորատիվ ցանցի և դրա մեջ սարքերի կառուցման առանձնահատկությունների վրա: VPN լուծումները մնում են ամենատարածվածը, այնուամենայնիվ, շատ փոքր ընկերություններ ընտրում են RDS (Remote Desktop Services), դրանք ավելի պարզ և արագ են տեղադրվում:
Այս հոդվածում մենք ավելի շատ կխոսենք RDS անվտանգության մասին: Եկեք հակիրճ ակնարկ անենք հայտնի խոցելիությունների մասին, ինչպես նաև դիտարկենք Active Directory-ի վրա հիմնված ցանցային ենթակառուցվածքի վրա հարձակում գործելու մի քանի սցենար: Հուսով ենք, որ մեր հոդվածը կօգնի ինչ-որ մեկին աշխատել սխալների վրա և բարելավել անվտանգությունը:
2. Վերջին RDS/RDP խոցելիությունները
Ցանկացած ծրագրակազմ պարունակում է սխալներ և խոցելիություններ, որոնք կարող են շահագործվել հարձակվողների կողմից, և RDS-ը բացառություն չէ: Microsoft-ը վերջերս հաճախ է հայտնում նոր խոցելիության մասին, ուստի մենք որոշեցինք նրանց հակիրճ ակնարկ տալ.
Այս խոցելիությունը վտանգի տակ է դնում օգտվողներին, ովքեր միանում են վտանգված սերվերին: Հարձակվողը կարող է ձեռք բերել օգտատիրոջ սարքի կառավարումը կամ համակարգում հենվել՝ մշտական հեռահար մուտք ունենալու համար:
- / /
Խոցելիության այս խումբը թույլ է տալիս չհաստատված հարձակվողին հեռակա կարգով կատարել կամայական կոդ RDS աշխատող սերվերի վրա՝ օգտագործելով հատուկ մշակված հարցումը: Դրանք կարող են օգտագործվել նաև որդեր ստեղծելու համար՝ չարամիտ ծրագրեր, որոնք ինքնուրույն վարակում են ցանցի հարևան սարքերը: Այսպիսով, այս խոցելիությունները կարող են վտանգել ամբողջ ընկերության ցանցը, և միայն ժամանակին թարմացումները կարող են փրկել դրանք:
Հեռակա հասանելիության ծրագրակազմը մեծ ուշադրություն է դարձրել ինչպես հետազոտողների, այնպես էլ հարձակվողների կողմից, ուստի շուտով մենք կարող ենք լսել ավելի շատ նմանատիպ խոցելիության մասին:
Լավ նորությունն այն է, որ ոչ բոլոր խոցելի վայրերն ունեն հանրային շահագործում: Վատ նորությունն այն է, որ փորձ ունեցող հարձակվողի համար դժվար չի լինի նկարագրության վրա հիմնված խոցելիության համար շահագործում գրել կամ օգտագործել այնպիսի տեխնիկա, ինչպիսին է Patch Diffing-ը (մեր գործընկերները դրա մասին գրել են. ) Հետևաբար, խորհուրդ ենք տալիս պարբերաբար թարմացնել ծրագրակազմը և վերահսկել հայտնաբերված խոցելիության մասին նոր հաղորդագրությունների տեսքը:
3. Հարձակումներ
Անցնում ենք հոդվածի երկրորդ մասին, որտեղ ցույց կտանք, թե ինչպես են սկսվում Active Directory-ի վրա հիմնված ցանցային ենթակառուցվածքի վրա հարձակումները։
Նկարագրված մեթոդները կիրառելի են հարձակվողի հետևյալ մոդելի համար. հարձակվող, ով ունի օգտվողի հաշիվ և ունի մուտք դեպի Remote Desktop Gateway՝ տերմինալային սերվեր (հաճախ այն հասանելի է, օրինակ, արտաքին ցանցից): Օգտագործելով այս մեթոդները՝ հարձակվողը կկարողանա շարունակել հարձակումը ենթակառուցվածքի վրա և համախմբել իր ներկայությունը ցանցում։
Ցանցի կոնֆիգուրացիան յուրաքանչյուր կոնկրետ դեպքում կարող է տարբեր լինել, սակայն նկարագրված տեխնիկան բավականին ունիվերսալ է:
Սահմանափակ միջավայրից դուրս գալու և արտոնությունների ավելացման օրինակներ
Remote Desktop Gateway մուտք գործելիս հարձակվողը, հավանաբար, կհանդիպի ինչ-որ սահմանափակ միջավայրի: Երբ դուք միանում եք տերմինալային սերվերին, դրա վրա գործարկվում է մի ծրագիր՝ ներքին ռեսուրսների, Explorer-ի, գրասենյակային փաթեթների կամ այլ ծրագրերի համար Remote Desktop արձանագրության միջոցով միանալու պատուհան:
Հարձակվողի նպատակը կլինի հրամանների կատարման հասանելիություն ստանալը, այսինքն՝ գործարկել cmd կամ powershell: Windows-ի ավազարկղից փախուստի մի քանի դասական մեթոդներ կարող են օգնել դրան: Դիտարկենք դրանք հետագա.
Ընտրանք 1. Հարձակվողին հասանելի է Remote Desktop կապի պատուհանը Remote Desktop Gateway-ում.
Բացվում է «Ցույց տալ ընտրանքները» ընտրացանկը: Միացման կազմաձևման ֆայլերը շահարկելու համար ընտրանքներ են հայտնվում.
Այս պատուհանից կարող եք հեշտությամբ մուտք գործել Explorer՝ սեղմելով «Բացել» կամ «Պահպանել» կոճակներից որևէ մեկը.
Explorer-ը բացվում է: Դրա «հասցեի տողը» հնարավորություն է տալիս գործարկել թույլատրված գործարկվող ֆայլերը, ինչպես նաև ցուցակագրել ֆայլային համակարգը: Սա կարող է օգտակար լինել հարձակվողի համար այն դեպքերում, երբ համակարգի կրիչներ թաքնված են և չեն կարող ուղղակիորեն մուտք գործել.
→
Նմանատիպ սցենար կարող է վերարտադրվել, օրինակ, Microsoft Office փաթեթից Excel-ի օգտագործման ժամանակ որպես հեռավոր ծրագրակազմ:
→
Բացի այդ, մի մոռացեք այս գրասենյակային փաթեթում օգտագործվող մակրոների մասին: Մեր գործընկերները մակրոանվտանգության խնդրին նայեցին դրանում .
Ընտրանք 2. Օգտագործելով նույն մուտքերը, ինչ նախորդ տարբերակում, հարձակվողը մի քանի կապ է գործարկում հեռավոր աշխատասեղանի հետ նույն հաշվի տակ: Երբ նորից միացնեք, առաջինը կփակվի, և էկրանին կհայտնվի սխալի մասին ծանուցում ունեցող պատուհան: Այս պատուհանի օգնության կոճակը կկանչի Internet Explorer-ը սերվերի վրա, որից հետո հարձակվողը կարող է գնալ Explorer:
→
Ընտրանք 3. Եթե գործարկվող ֆայլերի գործարկման սահմանափակումները կազմաձևված են, հարձակվողը կարող է բախվել այնպիսի իրավիճակի, երբ խմբի քաղաքականությունն արգելում է ադմինիստրատորին գործարկել cmd.exe-ը:
Սա շրջանցելու միջոց կա՝ գործարկելով bat ֆայլը հեռավոր աշխատասեղանի վրա՝ cmd.exe /K <command> բովանդակությամբ: Սխալը cmd-ն սկսելիս և bat ֆայլի գործարկման հաջող օրինակը ներկայացված է ստորև նկարում:
Ընտրանք 4. Գործարկվող ֆայլերի անվան հիման վրա սև ցուցակների օգտագործմամբ հավելվածների գործարկումն արգելելը համադարման միջոց չէ, դրանք կարելի է շրջանցել:
Մտածեք հետևյալ սցենարը. մենք անջատել ենք մուտքը հրամանի տող, կանխել ենք Internet Explorer-ի և PowerShell-ի գործարկումը՝ օգտագործելով խմբային քաղաքականությունը: Հարձակվողը փորձում է օգնություն կանչել՝ ոչ մի պատասխան: Փորձելով գործարկել powershell-ը մոդալ պատուհանի համատեքստային մենյուի միջոցով, որը կոչվում է Shift ստեղնը սեղմած - հաղորդագրություն, որը ցույց է տալիս, որ գործարկումն արգելված է ադմինիստրատորի կողմից: Փորձում է գործարկել powershell-ը հասցեի տողի միջոցով. կրկին ոչ մի պատասխան: Ինչպե՞ս շրջանցել սահմանափակումը.
Բավական է պատճենել powershell.exe-ը C:WindowsSystem32WindowsPowerShellv1.0 թղթապանակից օգտվողի թղթապանակում, փոխել անունը մի այլ բանով, քան powershell.exe-ն, և կհայտնվի գործարկման տարբերակը։
Լռելյայնորեն, հեռավոր աշխատասեղանին միանալիս տրամադրվում է մուտք դեպի հաճախորդի տեղական սկավառակներ, որտեղից հարձակվողը կարող է պատճենել powershell.exe-ը և գործարկել այն վերանվանելուց հետո:
→
Մենք տվել ենք սահմանափակումները շրջանցելու միայն մի քանի եղանակ, դուք կարող եք շատ ավելի շատ սցենարներ ստեղծել, բայց դրանք բոլորն ունեն մեկ ընդհանուր բան՝ մուտք դեպի Windows Explorer: Կան բազմաթիվ հավելվածներ, որոնք օգտագործում են Windows ֆայլերի մանիպուլյացիայի ստանդարտ գործիքներ, և երբ տեղադրվում են սահմանափակ միջավայրում, կարող են օգտագործվել նմանատիպ տեխնիկա:
4. Առաջարկություններ և եզրակացություն
Ինչպես տեսնում ենք, նույնիսկ սահմանափակ միջավայրում տեղ կա հարձակման զարգացման համար: Այնուամենայնիվ, դուք կարող եք ավելի բարդացնել հարձակվողի կյանքը: Մենք տրամադրում ենք ընդհանուր առաջարկություններ, որոնք օգտակար կլինեն ինչպես մեր դիտարկած տարբերակներում, այնպես էլ այլ դեպքերում:
- Սահմանափակել ծրագիրը գործարկվում է դեպի սև/սպիտակ ցուցակներ՝ օգտագործելով խմբային քաղաքականությունը:
Շատ դեպքերում, սակայն, կոդի գործարկումը մնում է հնարավոր: Խորհուրդ ենք տալիս ծանոթանալ նախագծին պատկերացում ունենալ ֆայլերի մանիպուլյացիայի և համակարգում կոդի գործարկման չփաստաթղթավորված եղանակների մասին:
Մենք խորհուրդ ենք տալիս համատեղել երկու տեսակի սահմանափակումները. օրինակ, դուք կարող եք թույլատրել գործարկվող գործարկվող ֆայլերը, որոնք ստորագրված են Microsoft-ի կողմից, բայց սահմանափակել cmd.exe-ի գործարկումը: - Անջատեք Internet Explorer-ի կարգավորումների ներդիրները (կարող է կատարվել տեղական գրանցամատյանում):
- Անջատեք Windows-ի ներկառուցված օգնությունը regedit-ի միջոցով:
- Անջատեք հեռակա միացումների համար տեղական սկավառակներ տեղադրելու հնարավորությունը, եթե նման սահմանափակումը կարևոր չէ օգտագործողների համար:
- Սահմանափակեք հեռակառավարվող սարքի տեղական կրիչներ մուտքը` մուտքը թողնելով միայն օգտվողի թղթապանակներին:
Հուսով ենք, որ այն ձեզ համար առնվազն հետաքրքիր է, և առավելագույնը, այս հոդվածը կօգնի ձեր ընկերության հեռահար աշխատանքն ավելի անվտանգ դարձնել:
Source: www.habr.com