1. Aféierung
Firmen déi keng Fernzougang Systemer op der Plaz haten hunn se virun e puer Méint dréngend ofgesat. Net all Administrateure waren op sou eng "Hëtzt" virbereet, wat zu Sécherheetsoffall gefouert huet: falsch Konfiguratioun vu Servicer oder souguer Installatioun vun alen Versioune vu Software mat virdru entdeckte Schwachstelle. Fir e puer sinn dës Ausléiser scho boomerangéiert, anerer ware méi glécklech, awer jidderee soll definitiv Conclusiounen zéien. Loyalitéit op Fernaarbecht ass exponentiell eropgaang, a méi a méi Firmen akzeptéieren Fernaarbecht als akzeptabel Format op eng kontinuéierlech Basis.
Also, et gi vill Méiglechkeeten fir Remote Zougang ze bidden: verschidde VPNs, RDS a VNC, TeamViewer an anerer. Administrateuren hu vill ze wielen aus, baséiert op de Spezifizitéite fir e Firmennetz an Apparater dran ze bauen. VPN-Léisungen bleiwen déi populär, awer vill kleng Firmen wielen RDS (Remote Desktop Services), si si méi einfach a méi séier z'installéieren.
An dësem Artikel wäerte mir méi iwwer RDS Sécherheet schwätzen. Loosst eis e kuerzen Iwwerbléck iwwer bekannte Schwachstelle maachen, an och verschidde Szenarie berücksichtegen fir en Attack op eng Netzwierkinfrastruktur baséiert op Active Directory ze starten. Mir hoffen, datt eisen Artikel een hëlleft fir un Bugs ze schaffen an d'Sécherheet ze verbesseren.
2. Rezent RDS / RDP Schwachstelle
All Software enthält Feeler a Schwachstelle, déi vun Ugräifer exploitéiert kënne ginn, an RDS ass keng Ausnahm. Microsoft huet zënter kuerzem nei Schwachstelle gemellt, also hu mir beschloss hinnen e kuerzen Iwwerbléck ze ginn:
Dës Schwachstelle stellt Benotzer déi mat engem kompromittéierte Server verbannen a Gefor. En Ugräifer kann d'Kontroll iwwer den Apparat vun engem Benotzer kréien oder e Fouss an de System kréien fir e permanente Fernzougang ze hunn.
- / /
Dës Grupp vu Schwachstelle erlaabt en net authentifizéierten Ugräifer arbiträr Code op engem Server auszeféieren deen RDS mat enger speziell erstalltem Ufro ausféiert. Si kënnen och benotzt ginn fir Würmer ze kreéieren - Malware déi onofhängeg Nopeschgeräter am Netz infizéiert. Sou kënnen dës Schwachstelle de ganze Netz vun der Firma a Gefor bréngen, an nëmme rechtzäiteg Updates kënnen se retten.
Remote Access Software huet méi Opmierksamkeet vu Fuerscher an Ugräifer kritt, sou datt mir geschwënn iwwer méi ähnlech Schwachstelle kënnen héieren.
Déi gutt Noriicht ass datt net all Schwachstelle ëffentlech Ausnotzen verfügbar hunn. Déi schlecht Neiegkeet ass datt et net schwéier ass fir en Ugräifer mat Expertise en Ausbeutung fir eng Schwachstelle baséiert op der Beschreiwung ze schreiwen, oder Techniken wéi Patch Diffing ze benotzen (eis Kollegen hunn doriwwer geschriwwen an ). Dofir empfeelen mir Iech regelméisseg d'Software ze aktualiséieren an d'Erscheinung vun neie Messagen iwwer entdeckte Schwachstelle ze iwwerwaachen.
3. Attacken
Mir plënneren op den zweeten Deel vum Artikel, wou mir weisen wéi Attacken op Netzwierkinfrastruktur baséiert op Active Directory ufänken.
Déi beschriwwe Methode sinn applicabel fir de folgenden Ugräifermodell: en Ugräifer deen e Benotzerkont huet an Zougang zum Remote Desktop Gateway huet - en Terminalserver (dacks ass et zougänglech, zum Beispill vun engem externen Netzwierk). Duerch d'Benotzung vun dëse Methoden kann den Ugräifer den Attack op d'Infrastruktur weiderféieren a seng Präsenz am Netz konsolidéieren.
D'Netzkonfiguratioun an all spezifesche Fall kann ënnerscheeden, awer déi beschriwwen Technike si ganz universell.
Beispiller fir e limitéierten Ëmfeld ze verloossen an d'Privilegien ze erhéijen
Wann Dir Zougang zum Remote Desktop Gateway kritt, wäert en Ugräifer méiglecherweis eng Aart vu limitéierter Ëmfeld begéinen. Wann Dir mat engem Terminal Server verbënnt, gëtt eng Applikatioun drop gestart: eng Fënster fir iwwer de Remote Desktop Protokoll fir intern Ressourcen, Explorer, Büro Packagen oder all aner Software ze verbannen.
D'Zil vum Ugräifer ass den Zougang ze kréien fir Kommandoen auszeféieren, dat heescht cmd oder Powershell ze starten. Verschidde klassesch Windows Sandbox Fluchttechnike kënnen domat hëllefen. Loosst eis se weider betruechten.
Option 1. Den Ugräifer huet Zougang zu der Remote Desktop Verbindungsfenster am Remote Desktop Gateway:
De Menü "Optiounen weisen" geet op. Optiounen erschéngen fir d'Verbindungskonfiguratiounsdateien ze manipuléieren:
Vun dëser Fënster kënnt Dir einfach op Explorer zougräifen andeems Dir op eng vun den "Open" oder "Späicheren" Knäppercher klickt:
Explorer mécht op. Seng "Adressbar" mécht et méiglech erlaabt ausführbar Dateien ze lancéieren, souwéi de Dateiesystem opzemaachen. Dëst kann nëtzlech sinn fir en Ugräifer a Fäll wou Systemfuerer verstoppt sinn an net direkt zougänglech sinn:
→
En ähnlechen Szenario ka reproduzéiert ginn, zum Beispill, wann Dir Excel aus der Microsoft Office Suite als Fernsoftware benotzt.
→
Zousätzlech vergiesst net iwwer d'Makroen déi an dëser Büro Suite benotzt ginn. Eis Kollegen hunn de Problem vun der Makrosécherheet an dësem ugekuckt .
Option 2. Mat der selwechter Input wéi an der viregter Versioun lancéiert den Ugräifer verschidde Verbindungen op de Remote Desktop ënner dem selwechte Kont. Wann Dir erëm konnektéiert gëtt, gëtt deen éischten zougemaach, an eng Fënster mat enger Fehlermeldung erschéngt um Bildschierm. Den Help-Knäppchen an dëser Fënster rufft Internet Explorer um Server un, duerno kann den Ugräifer op Explorer goen.
→
Option 3. Wann Restriktiounen op d'Start vun ausführbaren Dateien konfiguréiert sinn, kann en Ugräifer eng Situatioun begéinen, wou Gruppepolitiken den Administrateur verbidden cmd.exe auszeféieren.
Et gëtt e Wee fir dëst ëmzegoen andeems Dir eng Fliedermausdatei um Remote Desktop mat Inhalt wéi cmd.exe /K <Command> ausféiert. E Feeler beim Start vun cmd an en erfollegräicht Beispill fir eng Fliedermausdatei auszeféieren gëtt an der Figur hei ënnen gewisen.
Option 4. Verbueden de Start vun Uwendungen mat Schwaarzlëschten baséiert op den Numm vun ausführbaren Dateien ass keng Panacea; si kënne ëmgoen.
Bedenkt de folgende Szenario: Mir hunn den Zougang zu der Kommandozeil behënnert, verhënnert d'Start vun Internet Explorer a PowerShell mat Gruppepolitiken. Den Ugräifer probéiert Hëllef ze ruffen - keng Äntwert. Probéiert Powershell duerch de Kontextmenü vun enger modaler Fënster ze lancéieren, genannt mat der Shift-Taste gedréckt - e Message deen uginn datt de Start vum Administrateur verbueden ass. Probéiert Powershell duerch d'Adressbar ze starten - erëm keng Äntwert. Wéi d'Restriktioun ëmzegoen?
Et ass genuch fir powershell.exe aus dem C: WindowsSystem32WindowsPowerShellv1.0 Dossier an de Benotzer Dossier ze kopéieren, den Numm op eppes anescht wéi powershell.exe änneren, an d'Startoptioun erschéngt.
Par défaut, wann Dir mat engem Remote Desktop verbënnt, gëtt Zougang zu de lokalen Disken vum Client geliwwert, vu wou en Ugräifer powershell.exe kopéiere kann a lafen nodeems se ëmbenennt goufen.
→
Mir hunn nëmmen e puer Weeër ginn fir d'Restriktiounen ze ëmgoen; Dir kënnt mat vill méi Szenarie kommen, awer se hunn all eng Saach gemeinsam: Zougang zu Windows Explorer. Et gi vill Uwendungen déi Standard Windows Dateimanipulatiounsinstrumenter benotzen, a wann se an engem limitéierten Ëmfeld plazéiert sinn, kënnen ähnlech Technike benotzt ginn.
4. Recommandatiounen a Conclusioun
Wéi mir kënne gesinn, och an engem limitéierten Ëmfeld gëtt et Plaz fir Attackentwécklung. Wéi och ëmmer, Dir kënnt d'Liewe méi schwéier fir den Ugräifer maachen. Mir bidden allgemeng Empfehlungen déi nëtzlech sinn souwuel an den Optiounen déi mir berücksichtegt hunn an an anere Fäll.
- Limitéiert Programm lancéiert op schwaarz / wäiss Lëschte mat Gruppepolitik.
Am meeschte Fäll bleift et awer méiglech de Code ze lafen. Mir recommandéieren Iech mat dem Projet vertraut ze maachen , fir eng Iddi vun ondokumentéierte Weeër ze hunn fir Dateien ze manipuléieren an de Code um System auszeféieren.
Mir recommandéieren déi zwou Aarte vu Restriktiounen ze kombinéieren: Dir kënnt zum Beispill de Start vun ausführbaren Dateien, déi vu Microsoft ënnerschriwwe sinn, erlaben, awer de Start vu cmd.exe beschränken. - Deaktivéieren Internet Explorer Astellunge Tabs (kann lokal am Registry gemaach ginn).
- Desaktivéiere Windows agebauter Hëllef iwwer regedit.
- Deaktivéiert d'Fäegkeet fir lokal Disken fir Fernverbindungen ze montéieren wann sou eng Begrenzung fir d'Benotzer net kritesch ass.
- Limitéiert Zougang zu lokalen Drive vun der Fernmaschinn, léisst Zougang nëmmen zu Benotzerdateien.
Mir hoffen Dir hutt et op d'mannst interessant fonnt, a maximal, dësen Artikel hëlleft Är Firma hir Fernaarbecht méi sécher ze maachen.
Source: will.com