1.はじめに

リモート アクセス システムを導入していない企業は、数か月前に緊急にリモート アクセス システムを導入しました。 すべての管理者がこのような「熱」に備えていたわけではなく、その結果、サービスの設定が間違っていたり、以前に発見された脆弱性を持つ古いバージョンのソフトウェアがインストールされたりするなど、セキュリティ上の欠陥が発生しました。 一部の人にとって、これらの省略はすでにブーメラン状になっており、他の人にとってはより幸運でしたが、誰もが間違いなく結論を導き出す必要があります。 リモートワークへの忠誠度は飛躍的に高まり、継続的にリモートワークを許容可能な形式として受け入れる企業が増えています。

したがって、リモート アクセスを提供するには、さまざまな VPN、RDS と VNC、TeamViewer など、多くのオプションがあります。 管理者は、企業ネットワークとそのネットワーク内のデバイスの構築の詳細に基づいて、多くの選択肢から選択できます。 VPN ソリューションが依然として最も人気がありますが、多くの中小企業は、より簡単かつ迅速に導入できる RDS (リモート デスクトップ サービス) を選択しています。

この記事では、RDS のセキュリティについて詳しく説明します。 既知の脆弱性の簡単な概要を説明し、Active Directory に基づいてネットワーク インフラストラクチャに攻撃を開始するためのいくつかのシナリオも検討してみましょう。 私たちの記事が誰かのバグに取り組み、セキュリティを向上させるのに役立つことを願っています。

2. 最近の RDS/RDP の脆弱性

どのソフトウェアにも、攻撃者によって悪用される可能性のあるエラーや脆弱性が含まれており、RDS も例外ではありません。 Microsoft は最近、新しい脆弱性を頻繁に報告しているため、それらの概要を簡単に説明することにしました。

• CVE-2019-0787

この脆弱性により、侵害されたサーバーに接続するユーザーが危険にさらされます。 攻撃者はユーザーのデバイスを制御したり、システム内に足場を築いて永続的なリモート アクセスを取得したりする可能性があります。

• CVE-2019-1181 / CVE-2019-1182 / CVE-2020-0609

この一連の脆弱性により、認証されていない攻撃者が、特別に作成されたリクエストを使用して、RDS を実行しているサーバー上でリモートから任意のコードを実行することが可能になります。 また、ネットワーク上の隣接するデバイスに独立して感染するマルウェアであるワームを作成するために使用されることもあります。 したがって、これらの脆弱性は企業のネットワーク全体を危険にさらす可能性があり、タイムリーなアップデートのみが脆弱性を救うことができます。

リモート アクセス ソフトウェアは研究者と攻撃者の両方からますます注目を集めているため、近いうちにさらに多くの同様の脆弱性について聞くことになるかもしれません。

良いニュースは、すべての脆弱性が公開エクスプロイトを利用できるわけではないということです。 悪いニュースは、専門知識を持つ攻撃者にとって、説明に基づいて、またはパッチの差分などの技術を使用して脆弱性のエクスプロイトを作成するのは難しくないということです (私たちの同僚はこの件について次の記事で書いています) статье）。 したがって、ソフトウェアを定期的に更新し、発見された脆弱性に関する新しいメッセージの出現を監視することをお勧めします。

3. 攻撃

記事の第 XNUMX 部に進み、Active Directory に基づいたネットワーク インフラストラクチャへの攻撃がどのように始まるかを説明します。

説明されている方法は、次の攻撃者モデルに適用できます: ユーザー アカウントを持ち、リモート デスクトップ ゲートウェイ - ターミナル サーバー (多くの場合、外部ネットワークからアクセス可能) にアクセスできる攻撃者。 これらの方法を使用することで、攻撃者はインフラストラクチャへの攻撃を継続し、ネットワーク上での存在を強化することができます。

それぞれの特定のケースにおけるネットワーク構成は異なる場合がありますが、説明されている技術は非常に普遍的です。

制限された環境を終了し、権限を増やす例

攻撃者がリモート デスクトップ ゲートウェイにアクセスすると、何らかの制限された環境に遭遇する可能性があります。 ターミナル サーバーに接続すると、ターミナル サーバー上でアプリケーションが起動します。これは、内部リソース、エクスプローラー、オフィス パッケージ、またはその他のソフトウェアにリモート デスクトップ プロトコルを介して接続するためのウィンドウです。

攻撃者の目標は、コマンドを実行するためのアクセス権を取得すること、つまり cmd または powershell を起動することです。 これには、いくつかの古典的な Windows サンドボックス エスケープ手法が役立ちます。 さらに詳しく考えてみましょう。

オプション1。 攻撃者は、リモート デスクトップ ゲートウェイ内のリモート デスクトップ接続ウィンドウにアクセスできます。

「オプションの表示」メニューが開きます。 接続構成ファイルを操作するためのオプションが表示されます。

このウィンドウから、「開く」または「保存」ボタンのいずれかをクリックすることで、エクスプローラーに簡単にアクセスできます。

エクスプローラーが開きます。 その「アドレス バー」により、許可された実行可能ファイルを起動したり、ファイル システムを一覧表示したりすることができます。 これは、システム ドライブが隠蔽されており、直接アクセスできない場合に、攻撃者にとって役立ちます。

→ デモビデオ

たとえば、Microsoft Office スイートの Excel をリモート ソフトウェアとして使用する場合、同様のシナリオが再現できます。

→ デモビデオ

さらに、このオフィス スイートで使用されるマクロも忘れないでください。 私たちの同僚は、マクロセキュリティの問題を次のように考察しました。 статье.

オプション2。 攻撃者は、前のバージョンと同じ入力を使用して、同じアカウントでリモート デスクトップへの複数の接続を開始します。 再接続すると、最初の接続が閉じられ、エラー通知を含むウィンドウが画面に表示されます。 このウィンドウのヘルプ ボタンはサーバー上の Internet Explorer を呼び出し、その後攻撃者は Explorer に移動することができます。

→ デモビデオ

オプション3。 実行可能ファイルの起動に対する制限が構成されている場合、攻撃者はグループ ポリシーによって管理者による cmd.exe の実行が禁止されている状況に遭遇する可能性があります。

これを回避するには、cmd.exe /K <command> のようなコンテンツを含むバット ファイルをリモート デスクトップで実行します。 cmd 起動時のエラーと、bat ファイルの実行に成功した例を次の図に示します。

オプション4。 実行可能ファイルの名前に基づいてブラックリストを使用してアプリケーションの起動を禁止することは万能薬ではありませんが、回避することは可能です。

次のシナリオを考えてみましょう。コマンド ラインへのアクセスを無効にし、グループ ポリシーを使用して Internet Explorer と PowerShell の起動を禁止しました。 攻撃者は助けを求めようとしますが、応答はありません。 Shift キーを押しながら呼び出されるモーダル ウィンドウのコンテキスト メニューから PowerShell を起動しようとすると、管理者によって起動が禁止されていることを示すメッセージが表示されます。 アドレス バーから PowerShell を起動しようとしますが、やはり応答がありません。 制限を回避するにはどうすればよいですか?

C:WindowsSystem32WindowsPowerShellv1.0 フォルダーから powershell.exe をユーザー フォルダーにコピーし、名前を powershell.exe 以外の名前に変更するだけで、起動オプションが表示されます。

デフォルトでは、リモート デスクトップに接続すると、クライアントのローカル ディスクへのアクセスが提供され、攻撃者はそこから powershell.exe をコピーし、名前を変更して実行できます。

→ デモビデオ

制限を回避する方法はいくつか挙げただけであり、他にもさまざまなシナリオが考えられますが、それらに共通しているのは、Windows エクスプローラーへのアクセスです。 標準の Windows ファイル操作ツールを使用するアプリケーションは数多くあり、限られた環境に配置された場合でも、同様の手法を使用できます。

4. 推奨事項と結論

ご覧のとおり、限られた環境であっても攻撃を開発する余地はあります。 ただし、攻撃者の生活をさらに困難にすることはできます。 私たちが検討したオプションと他の場合の両方に役立つ一般的な推奨事項を提供します。

• グループ ポリシーを使用して、プログラムの起動をブラック/ホワイト リストに制限します。
  ただし、ほとんどの場合、コードを実行することは可能です。 プロジェクトについてよく理解しておくことをお勧めします ロルバス、システム上でファイルを操作し、コードを実行する文書化されていない方法についてのアイデアを得る。
  両方のタイプの制限を組み合わせることをお勧めします。たとえば、Microsoft によって署名された実行可能ファイルの起動を許可し、cmd.exe の起動を制限することができます。
• Internet Explorer の設定タブを無効にします (レジストリでローカルに実行できます)。
• regedit を使用して Windows の組み込みヘルプを無効にします。
• このような制限がユーザーにとって重要でない場合は、リモート接続用にローカル ディスクをマウントする機能を無効にします。
• リモート マシンのローカル ドライブへのアクセスを制限し、ユーザー フォルダーへのアクセスのみを残します。

この記事が少なくとも興味を持っていただければ幸いであり、最大限、会社のリモートワークをより安全にするのに役立ちます。

出所： habr.com