1. Pengenalan
Syarikat yang tidak mempunyai sistem capaian jauh telah menggunakan sistem tersebut dengan segera beberapa bulan lalu. Tidak semua pentadbir bersedia untuk "panas" sedemikian, yang mengakibatkan keselamatan luput: konfigurasi perkhidmatan yang salah atau malah pemasangan versi perisian lapuk dengan kelemahan yang ditemui sebelum ini. Bagi sesetengah orang, peninggalan ini telah menjadi bumerang, yang lain lebih bernasib baik, tetapi semua orang pasti perlu membuat kesimpulan. Kesetiaan kepada kerja jauh telah meningkat dengan pesat, dan semakin banyak syarikat menerima kerja jauh sebagai format yang boleh diterima secara berterusan.
Jadi, terdapat banyak pilihan untuk menyediakan akses jauh: pelbagai VPN, RDS dan VNC, TeamViewer dan lain-lain. Pentadbir mempunyai banyak pilihan, berdasarkan spesifikasi membina rangkaian korporat dan peranti di dalamnya. Penyelesaian VPN kekal yang paling popular, bagaimanapun, banyak syarikat kecil memilih RDS (Perkhidmatan Desktop Jauh), ia lebih mudah dan lebih pantas untuk digunakan.
Dalam artikel ini kita akan bercakap lebih lanjut tentang keselamatan RDS. Mari kita buat gambaran ringkas tentang kelemahan yang diketahui, dan juga pertimbangkan beberapa senario untuk melancarkan serangan ke atas infrastruktur rangkaian berdasarkan Active Directory. Kami berharap artikel kami akan membantu seseorang untuk menangani pepijat dan meningkatkan keselamatan.
2. Kerentanan RDS/RDP terkini
Mana-mana perisian mengandungi ralat dan kelemahan yang boleh dieksploitasi oleh penyerang, dan RDS tidak terkecuali. Microsoft kerap melaporkan kelemahan baharu sejak kebelakangan ini, jadi kami memutuskan untuk memberi mereka gambaran ringkas:
Kerentanan ini meletakkan pengguna yang menyambung ke pelayan yang terjejas berisiko. Penyerang boleh mengawal peranti pengguna atau bertapak dalam sistem untuk mempunyai akses jauh kekal.
- / /
Kumpulan kelemahan ini membenarkan penyerang yang tidak disahkan untuk melaksanakan kod arbitrari dari jauh pada pelayan yang menjalankan RDS menggunakan permintaan yang direka khas. Ia juga boleh digunakan untuk mencipta cecacingβperisian hasad yang menjangkiti peranti jiran secara bebas pada rangkaian. Oleh itu, kelemahan ini boleh menjejaskan keseluruhan rangkaian syarikat, dan hanya kemas kini yang tepat pada masanya boleh menyelamatkannya.
Perisian capaian jauh telah mendapat perhatian yang lebih tinggi daripada penyelidik dan penyerang, jadi kami mungkin tidak lama lagi akan mendengar tentang lebih banyak kelemahan yang serupa.
Berita baiknya ialah tidak semua kelemahan mempunyai eksploitasi awam yang tersedia. Berita buruknya ialah tidak sukar bagi penyerang yang mempunyai kepakaran untuk menulis eksploitasi untuk kelemahan berdasarkan penerangan atau menggunakan teknik seperti Patch Diffing (rakan sekerja kami menulis tentangnya dalam ). Oleh itu, kami mengesyorkan agar anda mengemas kini perisian secara kerap dan memantau penampilan mesej baharu tentang kelemahan yang ditemui.
3. Serangan
Kami beralih ke bahagian kedua artikel, di mana kami akan menunjukkan cara serangan terhadap infrastruktur rangkaian berdasarkan Active Directory bermula.
Kaedah yang diterangkan boleh digunakan untuk model penyerang berikut: penyerang yang mempunyai akaun pengguna dan mempunyai akses kepada Gerbang Desktop Jauh - pelayan terminal (selalunya ia boleh diakses, contohnya, dari rangkaian luaran). Dengan menggunakan kaedah ini, penyerang akan dapat meneruskan serangan ke atas infrastruktur dan menyatukan kehadirannya pada rangkaian.
Konfigurasi rangkaian dalam setiap kes tertentu mungkin berbeza, tetapi teknik yang diterangkan agak universal.
Contoh meninggalkan persekitaran terhad dan meningkatkan keistimewaan
Apabila mengakses Gerbang Desktop Jauh, penyerang mungkin akan menghadapi beberapa jenis persekitaran terhad. Apabila anda menyambung ke pelayan terminal, aplikasi dilancarkan padanya: tetingkap untuk menyambung melalui protokol Desktop Jauh untuk sumber dalaman, Explorer, pakej pejabat atau sebarang perisian lain.
Matlamat penyerang adalah untuk mendapatkan akses untuk melaksanakan arahan, iaitu, untuk melancarkan cmd atau powershell. Beberapa teknik melarikan diri kotak pasir Windows klasik boleh membantu dengan ini. Mari kita pertimbangkan mereka lebih lanjut.
Pilihan 1. Penyerang mempunyai akses kepada tetingkap sambungan Desktop Jauh dalam Gerbang Desktop Jauh:
Menu "Tunjukkan Pilihan" dibuka. Pilihan muncul untuk memanipulasi fail konfigurasi sambungan:
Dari tetingkap ini anda boleh mengakses Explorer dengan mudah dengan mengklik mana-mana butang "Buka" atau "Simpan":
Explorer dibuka. "Bar alamat"nya memungkinkan untuk melancarkan fail boleh laku yang dibenarkan, serta menyenaraikan sistem fail. Ini boleh berguna untuk penyerang dalam kes di mana pemacu sistem disembunyikan dan tidak boleh diakses secara langsung:
β
Senario yang serupa boleh dihasilkan semula, sebagai contoh, apabila menggunakan Excel daripada suite Microsoft Office sebagai perisian jauh.
β
Di samping itu, jangan lupa tentang makro yang digunakan dalam suite pejabat ini. Rakan sekerja kami melihat masalah keselamatan makro dalam hal ini .
Pilihan 2. Menggunakan input yang sama seperti dalam versi sebelumnya, penyerang melancarkan beberapa sambungan ke desktop jauh di bawah akaun yang sama. Apabila anda menyambung semula, yang pertama akan ditutup dan tetingkap dengan pemberitahuan ralat akan muncul pada skrin. Butang bantuan dalam tetingkap ini akan memanggil Internet Explorer pada pelayan, selepas itu penyerang boleh pergi ke Explorer.
β
Pilihan 3. Jika sekatan untuk melancarkan fail boleh laku dikonfigurasikan, penyerang mungkin menghadapi situasi di mana dasar kumpulan melarang pentadbir daripada menjalankan cmd.exe.
Terdapat cara untuk mengatasinya dengan menjalankan fail kelawar pada desktop jauh dengan kandungan seperti cmd.exe /K <command>. Ralat semasa memulakan cmd dan contoh yang berjaya untuk melaksanakan fail kelawar ditunjukkan dalam rajah di bawah.
Pilihan 4. Melarang pelancaran aplikasi menggunakan senarai hitam berdasarkan nama fail boleh laku bukanlah ubat mujarab; ia boleh dielakkan.
Pertimbangkan senario berikut: kami telah melumpuhkan akses kepada baris arahan, menghalang pelancaran Internet Explorer dan PowerShell menggunakan dasar kumpulan. Penyerang cuba memanggil bantuan - tiada jawapan. Cuba untuk melancarkan powershell melalui menu konteks tetingkap modal, dipanggil dengan kekunci Shift ditekan - mesej yang menunjukkan bahawa pelancaran dilarang oleh pentadbir. Cuba melancarkan powershell melalui bar alamat - sekali lagi tiada respons. Bagaimana untuk memintas sekatan?
Ia cukup untuk menyalin powershell.exe dari folder C:WindowsSystem32WindowsPowerShellv1.0 ke folder pengguna, menukar nama kepada sesuatu selain powershell.exe, dan pilihan pelancaran akan muncul.
Secara lalai, apabila menyambung ke desktop jauh, akses kepada cakera setempat pelanggan disediakan, dari mana penyerang boleh menyalin powershell.exe dan menjalankannya selepas menamakannya semula.
β
Kami hanya memberikan beberapa cara untuk memintas sekatan; anda boleh menghasilkan lebih banyak senario, tetapi semuanya mempunyai satu persamaan: akses kepada Windows Explorer. Terdapat banyak aplikasi yang menggunakan alat manipulasi fail Windows standard, dan apabila diletakkan dalam persekitaran yang terhad, teknik yang serupa boleh digunakan.
4. Cadangan dan kesimpulan
Seperti yang kita dapat lihat, walaupun dalam persekitaran yang terhad terdapat ruang untuk pembangunan serangan. Walau bagaimanapun, anda boleh menyukarkan hidup penyerang. Kami menyediakan pengesyoran umum yang berguna dalam kedua-dua pilihan yang telah kami pertimbangkan dan dalam kes lain.
- Hadkan pelancaran program kepada senarai hitam/putih menggunakan dasar kumpulan.
Walau bagaimanapun, dalam kebanyakan kes, kod masih boleh dijalankan. Kami mengesyorkan agar anda membiasakan diri dengan projek itu , untuk mempunyai idea tentang cara tidak berdokumen untuk memanipulasi fail dan melaksanakan kod pada sistem.
Kami mengesyorkan anda menggabungkan kedua-dua jenis sekatan: contohnya, anda boleh membenarkan pelancaran fail boleh laku yang ditandatangani oleh Microsoft, tetapi menyekat pelancaran cmd.exe. - Lumpuhkan tab tetapan Internet Explorer (boleh dilakukan secara tempatan dalam pendaftaran).
- Lumpuhkan bantuan terbina dalam Windows melalui regedit.
- Lumpuhkan keupayaan untuk melekapkan cakera tempatan untuk sambungan jauh jika had sedemikian tidak kritikal untuk pengguna.
- Hadkan akses kepada pemacu tempatan mesin jauh, meninggalkan akses hanya kepada folder pengguna.
Kami harap anda mendapatinya sekurang-kurangnya menarik, dan secara maksimum, artikel ini akan membantu menjadikan kerja jauh syarikat anda lebih selamat.
Sumber: www.habr.com