1.はじめに

リモートアクセスシステムを導入していなかった企業は、数ヶ月前から緊急に導入を進めていました。しかし、すべての管理者がこうした「熱」に備えられていたわけではなく、結果としてセキュリティギャップが生じました。サービスの設定ミスや、脆弱性が判明している古いバージョンのソフトウェアのインストールなどです。こうしたギャップがブーメランのように再び現れた企業もあれば、より幸運だった企業もありますが、誰もが結論を導き出すべきです。リモートワークへの忠誠心はこれまで以上に高まり、ますます多くの企業がリモートワークを恒久的な働き方として受け入れています。

リモートアクセスを提供するための選択肢は数多くあります。様々なVPN、RDS、VNC、TeamViewerなどです。管理者は、企業ネットワークの構築状況やネットワーク内のデバイスに応じて、多くの選択肢から選ぶことができます。VPNソリューションは依然として最も人気がありますが、多くの中小企業は、導入が簡単で迅速なRDS（リモートデスクトップサービス）を選択しています。

この記事では、RDSのセキュリティについてより詳細に解説します。既知の脆弱性について簡単に概説し、Active Directoryベースのネットワークインフラストラクチャへの攻撃を仕掛けるシナリオをいくつか考察します。この記事が、エラーの修正やセキュリティ向上に取り組む皆様のお役に立てれば幸いです。

2. 最近のRDS/RDPの脆弱性

どのソフトウェアにも、攻撃者に悪用されるバグや脆弱性が存在します。RDSも例外ではありません。Microsoftは最近、新たな脆弱性を頻繁に報告しているため、簡単に概要を説明することにしました。

• CVE-2019-0787

この脆弱性により、侵害されたサーバーに接続するユーザーは危険にさらされます。攻撃者はユーザーのデバイスを制御したり、システムに侵入して永続的なリモートアクセスを確立したりする可能性があります。

• CVE-2019-1181 / CVE-2019-1182 / CVE-2020-0609

この脆弱性群は、不正な攻撃者が特別な形式のリクエストを用いて、RDS を導入したサーバー上で任意のコードをリモートから実行することを可能にします。また、ワーム（ネットワーク上の隣接するデバイスに感染するマルウェア）の作成にも利用される可能性があります。したがって、これらの脆弱性は企業ネットワーク全体を危険にさらす可能性があり、適切なタイミングでアップデートを実施することでのみ、これらの脅威から身を守ることができます。

リモート アクセス ソフトウェアは研究者と攻撃者の両方から注目を集めているため、近いうちにこのような脆弱性に関するニュースがさらに増える可能性があります。

良いニュースとしては、すべての脆弱性にエクスプロイトが公開されているわけではない。悪いニュースとしては、専門知識を持つ攻撃者は、脆弱性の説明に基づいて、あるいはパッチ差分などの技術を使って、簡単にエクスプロイトを作成できるということだ（これについては、同僚が記事を書いている）。 статьеしたがって、ソフトウェアを定期的に更新し、発見された脆弱性に関する新しいレポートを監視することをお勧めします。

3. 攻撃

記事の後半に進み、Active Directory に基づくネットワーク インフラストラクチャへの攻撃がどのように始まるかを説明します。

ここで説明する手法は、以下の攻撃者モデルに適用可能です。攻撃者はユーザーアカウントを持ち、リモートデスクトップゲートウェイ（ターミナルサーバー、例えば外部ネットワークからアクセス可能な場合が多い）にアクセスできます。これらの手法を用いることで、攻撃者はインフラストラクチャへの攻撃を継続し、ネットワーク内でのプレゼンスを強化することができます。

ネットワーク構成はそれぞれのケースで異なる場合がありますが、説明されている手法は非常に普遍的です。

制限された環境から抜け出し、権限を昇格する例

リモートデスクトップゲートウェイにアクセスする場合、攻撃者は限られた環境に遭遇する可能性が高くなります。ターミナルサーバーに接続すると、サーバー上でアプリケーションが起動します。リモートデスクトッププロトコルを介して内部リソースに接続するためのウィンドウ、エクスプローラー、オフィススイート、その他のソフトウェアなどです。

攻撃者の目的は、コマンド実行権限、つまりcmdやPowerShellを起動する権限を取得することです。これには、いくつかの古典的なサンドボックス脱出テクニックが役立ちます。 Windowsそれらをさらに検討してみましょう。

オプション1攻撃者は、リモート デスクトップ ゲートウェイ内のリモート デスクトップ接続ウィンドウにアクセスできます。

「オプションを表示」メニューが開きます。接続設定ファイルを操作するためのオプションが表示されます。

このウィンドウから、「開く」または「保存」ボタンのいずれかをクリックすると、エクスプローラーに簡単にアクセスできます。

エクスプローラーが開きます。「アドレスバー」では、許可された実行ファイルを実行したり、ファイルシステムの一覧を表示したりできます。これは、システムドライブが隠されていて直接アクセスできない場合に、攻撃者にとって便利な機能です。

→ デモビデオ

たとえば、Microsoft Office パッケージの Excel をリモート ソフトウェアとして使用する場合も、同様のシナリオを再現できます。

→ デモビデオ

さらに、このオフィススイートで使用されるマクロについても忘れないでください。私たちの同僚は、このオフィススイートにおけるマクロのセキュリティの問題を検討しました。 статье.

オプション2攻撃者は、以前の亜種と同じ入力方法で、同じアカウントでリモートデスクトップへの複数の接続を開始します。再接続すると、最初の接続は閉じられ、エラー通知ウィンドウが画面に表示されます。このウィンドウのヘルプボタンをクリックすると、サーバー上のInternet Explorerが呼び出され、その後、攻撃者はInternet Explorerにアクセスできます。

→ デモビデオ

オプション3実行可能ファイルの実行に制限が設定されている場合、攻撃者はグループ ポリシーによって管理者による cmd.exe の実行が禁止される状況に遭遇する可能性があります。

これを回避するには、リモートデスクトップで「cmd.exe /K <コマンド>」のような内容のbatファイルを実行します。下の図は、cmd実行時のエラーとbatファイルの実行成功例です。

オプション4実行可能ファイル名によるブラックリストを使用してアプリケーションの起動をブロックすることは万能薬ではなく、回避される可能性があります。

次のようなシナリオを考えてみましょう。コマンドラインへのアクセスをブロックし、グループポリシーを使用してInternet ExplorerとPowerShellの実行をブロックしています。攻撃者はヘルプを呼び出そうとしますが、応答がありません。Shiftキーを押しながら呼び出されたモーダルウィンドウのコンテキストメニューからPowerShellを実行しようとしますが、管理者が起動をブロックしているというメッセージが表示されます。アドレスバーからPowerShellを実行しようとしますが、やはり応答がありません。どうすればこの制限を回避できるでしょうか？

Cドライブのフォルダからpowershell.exeをコピーするだけです。WindowsSystem32Windowsユーザーフォルダにある PowerShellv1.0 の名前を powershell.exe 以外の名前に変更すると、実行するオプションが表示されます。

デフォルトでは、リモート デスクトップに接続すると、クライアントのローカル ディスクへのアクセスが提供され、攻撃者はそこから powershell.exe をコピーし、名前を変更して実行することができます。

→ デモビデオ

ここでは制限を回避する方法をいくつかご紹介しましたが、他にも多くのシナリオが考えられます。しかし、それらすべてに共通しているのは、エクスプローラーにアクセスすることです。 Windows標準ツールを使用するアプリケーション Windows ファイルを扱う方法は数多くあり、限られた環境に置く場合でも、同様の手法を用いることができます。

4. 勧告と結論

ご覧のとおり、限られた環境であっても攻撃を展開する余地はあります。しかし、攻撃者の行動を困難にすることは可能です。ここでは、ここで検討した選択肢だけでなく、他のケースにも役立つ一般的な推奨事項をいくつかご紹介します。

• グループ ポリシーを使用して、ブラック/ホワイト リストでプログラムの起動を制限します。
  ほとんどの場合、コードを実行することは可能です。プロジェクトに慣れておくことをお勧めします。 ロルバス、システム上でファイルを操作したりコードを実行したりするための文書化されていない方法についての洞察を得ます。
  両方の種類の制限を組み合わせることをお勧めします。たとえば、Microsoft によって署名された実行可能ファイルの起動を許可し、cmd.exe の起動を制限することができます。
• Internet Explorer の設定タブを無効にします (レジストリでローカルに実行できます)。
• レジストリエディタを使用して組み込みヘルプを無効にする Windows.
• この制限がユーザーにとって重要でない場合は、リモート接続用にローカル ドライブをマウントする機能を無効にします。
• リモート マシンのローカル ディスクへのアクセスを制限し、ユーザー フォルダーへのアクセスのみを残します。

この記事が皆様にとって少なくとも興味深いものとなり、そして皆様の会社のリモートワークをより安全にする一助となれば幸いです。

出所： habr.com