1. Кіріспе
Қашықтан қол жеткізу жүйесі жоқ компаниялар оларды бірнеше ай бұрын шұғыл түрде орналастырды. Барлық әкімшілер мұндай «қызуға» дайын емес еді, бұл қауіпсіздіктің бұзылуына әкелді: қызметтерді дұрыс конфигурациялау немесе бұрын анықталған осалдықтары бар бағдарламалық жасақтаманың ескірген нұсқаларын орнату. Кейбіреулер үшін бұл олқылықтар қазірдің өзінде бумерандж болды, басқалары бақытты болды, бірақ әркім міндетті түрде қорытынды жасауы керек. Қашықтан жұмыс істеуге деген адалдық экспоненциалды түрде өсті және көбірек компаниялар қашықтан жұмысты қолайлы формат ретінде тұрақты негізде қабылдайды.
Сонымен, қашықтан қол жеткізуді қамтамасыз етудің көптеген нұсқалары бар: әртүрлі VPN, RDS және VNC, TeamViewer және т.б. Әкімшілерде корпоративтік желіні және ондағы құрылғыларды құру ерекшеліктеріне қарай таңдау мүмкіндігі көп. VPN шешімдері ең танымал болып қала береді, дегенмен көптеген шағын компаниялар RDS (Қашықтағы жұмыс үстелі қызметтерін) таңдайды, оларды орналастыру оңайырақ және жылдамырақ.
Бұл мақалада біз RDS қауіпсіздігі туралы көбірек айтатын боламыз. Белгілі осалдықтарға қысқаша шолу жасайық, сонымен қатар Active Directory негізіндегі желілік инфрақұрылымға шабуыл жасаудың бірнеше сценарийін қарастырайық. Біздің мақала біреуге қателермен жұмыс істеуге және қауіпсіздікті жақсартуға көмектеседі деп үміттенеміз.
2. Соңғы RDS/RDP осалдықтары
Кез келген бағдарламалық жасақтамада шабуылдаушылар пайдалана алатын қателер мен осалдықтар бар және RDS ерекшелік емес. Microsoft соңғы уақытта жаңа осалдықтар туралы жиі хабарлап отырады, сондықтан біз оларға қысқаша шолу жасауды жөн көрдік:
Бұл осалдық бұзылған серверге қосылатын пайдаланушыларға қауіп төндіреді. Шабуылдаушы пайдаланушының құрылғысын басқаруға қол жеткізе алады немесе тұрақты қашықтан қол жеткізу үшін жүйеде орын ала алады.
- / /
Бұл осалдықтар тобы аутентификацияланбаған шабуылдаушыға арнайы жасалған сұрауды пайдаланып RDS іске қосылған серверде еркін кодты қашықтан орындауға мүмкіндік береді. Оларды желідегі көрші құрылғыларды дербес зақымдайтын құрттар — зиянды бағдарлама жасау үшін де пайдалануға болады. Осылайша, бұл осалдықтар бүкіл компания желісіне қауіп төндіруі мүмкін және тек уақтылы жаңартулар оларды сақтай алады.
Қашықтан қол жеткізу бағдарламалық құралына зерттеушілер де, шабуылдаушылар да көбірек назар аударды, сондықтан жақын арада ұқсас осалдықтар туралы көбірек естуіміз мүмкін.
Жақсы жаңалық - барлық осалдықтардың қоғамдық пайдалану мүмкіндігі жоқ. Жаман жаңалық, тәжірибесі бар шабуылдаушыға сипаттама негізінде немесе Patch Diffing сияқты әдістерді қолдану арқылы осалдықты жазу қиын болмайды (біздің әріптестеріміз бұл туралы ). Сондықтан, бағдарламалық құралды үнемі жаңартып отыруды және табылған осалдықтар туралы жаңа хабарлардың пайда болуын бақылауды ұсынамыз.
3. Шабуылдар
Біз мақаланың екінші бөлігіне көшеміз, онда Active Directory негізіндегі желілік инфрақұрылымға шабуылдар қалай басталатынын көрсетеміз.
Сипатталған әдістер келесі шабуылдаушы үлгісіне қолданылады: пайдаланушы тіркелгісі бар және қашықтағы жұмыс үстелі шлюзіне кіру мүмкіндігі бар шабуылдаушы - терминал сервері (көбінесе оған, мысалы, сыртқы желіден қол жетімді). Осы әдістерді қолдану арқылы шабуылдаушы инфрақұрылымға шабуылды жалғастыра алады және желіде өзінің қатысуын біріктіре алады.
Әрбір нақты жағдайда желі конфигурациясы әртүрлі болуы мүмкін, бірақ сипатталған әдістер өте әмбебап.
Шектеулі ортадан шығу және артықшылықтарды арттыру мысалдары
Қашықтағы жұмыс үстелі шлюзіне кіру кезінде шабуылдаушы шектеулі ортаның қандай да бір түрімен кездесуі мүмкін. Терминал серверіне қосылған кезде, онда қолданба іске қосылады: ішкі ресурстарға, Explorer, кеңсе бумаларына немесе кез келген басқа бағдарламалық құралға арналған қашықтағы жұмыс үстелі протоколы арқылы қосылуға арналған терезе.
Шабуылшының мақсаты командаларды орындауға рұқсат алу, яғни cmd немесе powershell іске қосу болады. Бұған бірнеше классикалық Windows құм жәшігінен құтылу әдістері көмектесе алады. Оларды толығырақ қарастырайық.
1 нұсқасы. Қашықтағы жұмыс үстелі шлюзіндегі Қашықтағы жұмыс үстелінің қосылым терезесіне шабуылдаушы қатынаса алады:
«Параметрлерді көрсету» мәзірі ашылады. Қосылым конфигурациясының файлдарын өңдеу үшін опциялар пайда болады:
Бұл терезеде «Ашу» немесе «Сақтау» түймелерінің кез келгенін басу арқылы Explorer бағдарламасына оңай қол жеткізе аласыз:
Explorer ашылады. Оның «мекенжай жолағы» рұқсат етілген орындалатын файлдарды іске қосуға, сондай-ақ файлдық жүйенің тізімін жасауға мүмкіндік береді. Бұл жүйелік дискілер жасырылған және оларға тікелей қол жеткізу мүмкін болмаған жағдайларда шабуылдаушы үшін пайдалы болуы мүмкін:
→
Ұқсас сценарийді, мысалы, қашықтағы бағдарламалық құрал ретінде Microsoft Office жиынтығынан Excel бағдарламасын пайдалану кезінде қайта шығаруға болады.
→
Сонымен қатар, осы кеңсе жиынтығында қолданылатын макростар туралы ұмытпаңыз. Бұл жерде біздің әріптестер макроқауіпсіздік мәселесін қарастырды .
2 нұсқасы. Алдыңғы нұсқадағыдай бірдей кірістерді пайдаланып, шабуылдаушы қашықтағы жұмыс үстеліне бір тіркелгі бойынша бірнеше қосылымдарды іске қосады. Қайта қосылған кезде біріншісі жабылады және экранда қате туралы хабарламасы бар терезе пайда болады. Бұл терезедегі анықтама түймесі сервердегі Internet Explorer шолғышын шақырады, содан кейін шабуылдаушы Explorer-ге бара алады.
→
3 нұсқасы. Орындалатын файлдарды іске қосуға шектеулер конфигурацияланса, шабуылдаушы топ саясаттары әкімшіге cmd.exe файлын іске қосуға тыйым салатын жағдайға тап болуы мүмкін.
cmd.exe /K <command> сияқты мазмұны бар қашықтағы жұмыс үстелінде bat файлын іске қосу арқылы мұны айналып өтудің жолы бар. cmd іске қосу кезіндегі қате және bat файлын орындаудың сәтті мысалы төмендегі суретте көрсетілген.
4 нұсқасы. Орындалатын файлдардың атауына негізделген қара тізімдерді пайдаланатын қолданбаларды іске қосуға тыйым салу панацея емес, оларды айналып өтуге болады.
Келесі сценарийді қарастырыңыз: біз пәрмен жолына кіруді өшірдік, топтық саясаттарды пайдаланып Internet Explorer және PowerShell бағдарламаларын іске қосуға жол бермедік. Шабуылшы көмекке шақыруға тырысады - жауап жоқ. Shift пернесін басу арқылы шақырылатын модальды терезенің мәтінмәндік мәзірі арқылы powershell іске қосу әрекеті - әкімші іске қосуға тыйым салғанын көрсететін хабарлама. Мекенжай жолағы арқылы powershell іске қосуға тырысады - қайтадан жауап жоқ. Шектеуді қалай айналып өтуге болады?
Powershell.exe файлын C:WindowsSystem32WindowsPowerShellv1.0 қалтасынан пайдаланушы қалтасына көшіру, атын powershell.exe емес басқа нәрсеге өзгерту жеткілікті, сонда іске қосу опциясы пайда болады.
Әдепкі бойынша, қашықтағы жұмыс үстеліне қосылған кезде, клиенттің жергілікті дискілеріне кіру қамтамасыз етіледі, ол жерден шабуылдаушы powershell.exe файлын көшіріп, оның атын өзгерткеннен кейін оны іске қоса алады.
→
Біз шектеулерді айналып өтудің бірнеше жолын ғана бердік; сіз басқа да көптеген сценарийлер жасай аласыз, бірақ олардың барлығына ортақ бір нәрсе бар: Windows Explorer шолғышына кіру. Стандартты Windows файлдарын өңдеу құралдарын пайдаланатын көптеген қолданбалар бар және шектеулі ортаға орналастырылған кезде ұқсас әдістерді қолдануға болады.
4. Ұсыныстар мен қорытынды
Көріп отырғанымыздай, тіпті шектеулі ортада шабуылды дамытуға мүмкіндік бар. Дегенмен, сіз шабуылдаушының өмірін қиындата аласыз. Біз қарастырған нұсқаларда да, басқа жағдайларда да пайдалы болатын жалпы ұсыныстарды береміз.
- Топтық саясаттарды пайдалана отырып, бағдарламаның іске қосылуын қара/ақ тізімдерге шектеңіз.
Дегенмен, көп жағдайда кодты іске қосу мүмкіндігі қалады. Жобамен танысуға кеңес береміз , файлдарды басқарудың құжатсыз тәсілдері және жүйеде кодты орындау туралы түсінікке ие болу.
Шектеулердің екі түрін де біріктіруді ұсынамыз: мысалы, Microsoft қол қойған орындалатын файлдарды іске қосуға рұқсат бере аласыз, бірақ cmd.exe файлын іске қосуды шектей аласыз. - Internet Explorer параметрлері қойындыларын өшіріңіз (тізілімде жергілікті түрде жасауға болады).
- Windows жүйесінде орнатылған анықтаманы regedit арқылы өшіріңіз.
- Пайдаланушылар үшін мұндай шектеу маңызды болмаса, қашықтағы қосылымдар үшін жергілікті дискілерді орнату мүмкіндігін өшіріңіз.
- Қашықтағы құрылғының жергілікті дискілеріне қол жеткізуді шектеңіз, тек пайдаланушы қалталарына қол жеткізіңіз.
Сізге бұл кем дегенде қызықты болды деп үміттенеміз және бұл мақала сіздің компанияңыздың қашықтан жұмысын қауіпсіз етуге көмектеседі.
Ақпарат көзі: www.habr.com