1. Inngangur
Fyrirtæki sem ekki höfðu fjaraðgangskerfi til staðar settu þau í notkun fyrir nokkrum mánuðum síðan. Ekki voru allir stjórnendur tilbúnir fyrir slíkan „hita“ sem leiddi til þess að öryggi félli: rangar stillingar þjónustu eða jafnvel uppsetningu á úreltum útgáfum af hugbúnaði með áður uppgötvað veikleika. Hjá sumum hefur þessi aðgerðaleysi nú þegar breyst, aðrir voru heppnari, en allir ættu örugglega að draga ályktanir. Tryggð við fjarvinnu hefur aukist gríðarlega og sífellt fleiri fyrirtæki samþykkja fjarvinnu sem ásættanlegt snið í sífellu.
Svo, það eru margir möguleikar til að veita fjaraðgang: ýmis VPN, RDS og VNC, TeamViewer og aðrir. Stjórnendur hafa úr nógu að velja, byggt á sérstöðu þess að byggja upp fyrirtækjanet og tæki í því. VPN lausnir eru áfram vinsælar, en mörg lítil fyrirtæki velja RDS (Remote Desktop Services), þær eru einfaldari og hraðari í notkun.
Í þessari grein munum við tala meira um RDS öryggi. Við skulum gera stutt yfirlit yfir þekkta veikleika og einnig íhuga nokkrar aðstæður til að hefja árás á netinnviði sem byggir á Active Directory. Við vonum að greinin okkar muni hjálpa einhverjum að vinna á villum og bæta öryggi.
2. Nýleg RDS/RDP varnarleysi
Sérhver hugbúnaður inniheldur villur og veikleika sem árásarmenn geta nýtt sér og RDS er engin undantekning. Microsoft hefur oft tilkynnt um nýjar veikleika að undanförnu, svo við ákváðum að gefa þeim stutt yfirlit:
Þessi varnarleysi setur notendum í hættu sem tengjast netþjóni sem er í hættu. Árásarmaður getur náð stjórn á tæki notanda eða náð fótfestu í kerfinu til að hafa varanlegan fjaraðgang.
- / /
Þessi hópur veikleika gerir óstaðfestum árásarmanni kleift að framkvæma fjarstýrðan kóða á netþjóni sem keyrir RDS með því að nota sérstaklega útfærða beiðni. Þeir geta einnig verið notaðir til að búa til orma - spilliforrit sem sjálfstætt sýkir nálæg tæki á netinu. Þannig geta þessir veikleikar stofnað öllu neti fyrirtækisins í hættu og aðeins tímabærar uppfærslur geta bjargað þeim.
Fjaraðgangshugbúnaður hefur fengið aukna athygli frá bæði rannsakendum og árásarmönnum, svo við gætum fljótlega heyrt um fleiri svipaða veikleika.
Góðu fréttirnar eru þær að ekki eru allir veikleikar með opinber hetjudáð í boði. Slæmu fréttirnar eru þær að það verður ekki erfitt fyrir árásarmann með sérfræðiþekkingu að skrifa hagnýtingu fyrir varnarleysi byggt á lýsingunni, eða nota tækni eins og Patch Diffing (samstarfsmenn okkar skrifuðu um það í ). Þess vegna mælum við með því að þú uppfærir hugbúnaðinn reglulega og fylgist með útliti nýrra skilaboða um uppgötvuð veikleika.
3. Árásir
Við förum yfir í seinni hluta greinarinnar, þar sem við munum sýna hvernig árásir á netinnviði sem byggjast á Active Directory hefjast.
Aðferðirnar sem lýst er eiga við um eftirfarandi árásarlíkan: árásarmann sem er með notendareikning og hefur aðgang að Remote Desktop Gateway - útstöðvarþjónn (oft er hann aðgengilegur td frá utanaðkomandi neti). Með því að nota þessar aðferðir mun árásarmaðurinn geta haldið áfram árásinni á innviðina og treyst nærveru sinni á netinu.
Netkerfisuppsetningin í hverju tilviki getur verið mismunandi, en þær aðferðir sem lýst er eru nokkuð alhliða.
Dæmi um að yfirgefa takmarkað umhverfi og auka forréttindi
Þegar árásarmaður er opnuð í Remote Desktop Gateway mun líklega lenda í einhvers konar takmörkuðu umhverfi. Þegar þú tengist útstöðvarþjóni er forrit ræst á honum: gluggi til að tengjast í gegnum Remote Desktop samskiptareglur fyrir innri auðlindir, Explorer, skrifstofupakka eða annan hugbúnað.
Markmið árásarmannsins verður að fá aðgang til að framkvæma skipanir, það er að ræsa cmd eða powershell. Nokkrar klassískar Windows sandkassaflóttaaðferðir geta hjálpað til við þetta. Við skulum íhuga þau frekar.
Valkostur 1. Árásarmaðurinn hefur aðgang að Fjarskrifborðstengingarglugganum í Remote Desktop Gateway:
Valmyndin „Sýna valkosti“ opnast. Valkostir birtast til að vinna með tengingarstillingarskrár:
Frá þessum glugga geturðu auðveldlega nálgast Explorer með því að smella á einhvern af „Opna“ eða „Vista“ hnöppunum:
Explorer opnast. „Veffangastikan“ gerir það mögulegt að ræsa leyfilegar keyrsluskrár, auk þess að skrá skráarkerfið. Þetta getur verið gagnlegt fyrir árásarmann í þeim tilvikum þar sem kerfisdrif eru falin og ekki er hægt að nálgast beint:
→
Svipaða atburðarás er hægt að endurskapa, til dæmis þegar Excel úr Microsoft Office pakkanum er notað sem fjarhugbúnað.
→
Að auki, ekki gleyma fjölvi sem notuð eru í þessari skrifstofupakka. Samstarfsmenn okkar skoðuðu vandamálið við þjóðhagsöryggi í þessu .
Valkostur 2. Með því að nota sömu inntak og í fyrri útgáfu, ræsir árásarmaðurinn nokkrar tengingar við ytra skjáborðið undir sama reikningi. Þegar þú tengist aftur verður þeim fyrsta lokað og gluggi með villutilkynningu birtist á skjánum. Hjálparhnappurinn í þessum glugga kallar á Internet Explorer á þjóninum, eftir það getur árásarmaðurinn farið í Explorer.
→
Valkostur 3. Ef takmarkanir á að ræsa keyrsluskrár eru stilltar getur árásarmaður lent í aðstæðum þar sem hópreglur banna stjórnandanum að keyra cmd.exe.
Það er leið til að komast í kringum þetta með því að keyra bat-skrá á ytra skjáborðinu með efni eins og cmd.exe /K <skipun>. Villa við ræsingu cmd og árangursríkt dæmi um að keyra bat skrá er sýnd á myndinni hér að neðan.
Valkostur 4. Að banna ræsingu forrita sem nota svartan lista byggða á nafni keyranlegra skráa er ekki töfralausn; það er hægt að sniðganga þær.
Íhugaðu eftirfarandi atburðarás: Við höfum slökkt á aðgangi að skipanalínunni, komið í veg fyrir ræsingu Internet Explorer og PowerShell með því að nota hópstefnur. Árásarmaðurinn reynir að kalla á hjálp - ekkert svar. Að reyna að ræsa powershell í gegnum samhengisvalmynd formglugga, kallaður með Shift takkanum inni - skilaboð sem gefa til kynna að ræsing sé bönnuð af stjórnanda. Reynir að ræsa powershell í gegnum veffangastikuna - aftur ekkert svar. Hvernig á að komast framhjá takmörkunum?
Það er nóg að afrita powershell.exe úr C:WindowsSystem32WindowsPowerShellv1.0 möppunni í notendamöppuna, breyta nafninu í eitthvað annað en powershell.exe og þá birtist ræsivalkosturinn.
Sjálfgefið er, þegar tengt er við ytra skjáborð, aðgang að staðbundnum diskum viðskiptavinarins, þaðan sem árásarmaður getur afritað powershell.exe og keyrt það eftir að hafa endurnefna það.
→
Við höfum aðeins gefið nokkrar leiðir til að komast framhjá takmörkunum; þú getur komið með margar fleiri aðstæður, en þær eiga allar eitt sameiginlegt: aðgangur að Windows Explorer. Það eru mörg forrit sem nota venjuleg Windows skráameðferðartæki og þegar þau eru sett í takmarkað umhverfi er hægt að nota svipaðar aðferðir.
4. Tillögur og niðurstaða
Eins og við sjáum, jafnvel í takmörkuðu umhverfi er pláss fyrir þróun árása. Hins vegar getur þú gert lífið erfiðara fyrir árásarmanninn. Við gefum almennar ráðleggingar sem munu nýtast bæði í þeim valkostum sem við höfum skoðað og í öðrum tilvikum.
- Takmarkaðu ræsingu forrits við svarta/hvíta lista með því að nota hópstefnur.
Í flestum tilfellum er þó áfram hægt að keyra kóðann. Við mælum með að þú kynnir þér verkefnið , til að hafa hugmynd um óskráðar leiðir til að vinna með skrár og keyra kóða á kerfinu.
Við mælum með að sameina báðar tegundir takmarkana: til dæmis geturðu leyft að keyra skrár sem eru undirritaðar af Microsoft, en takmarkað opnun cmd.exe. - Slökktu á Internet Explorer stillingaflipum (hægt að gera á staðnum í skránni).
- Slökktu á innbyggðri Windows hjálp með regedit.
- Slökktu á getu til að tengja staðbundna diska fyrir fjartengingar ef slík takmörkun er ekki mikilvæg fyrir notendur.
- Takmarkaðu aðgang að staðbundnum drifum ytri vélarinnar, skildu aðeins eftir aðgang að notendamöppum.
Við vonum að þér fannst það að minnsta kosti áhugavert og að hámarki mun þessi grein hjálpa til við að gera fjarvinnu fyrirtækis þíns öruggari.
Heimild: www.habr.com