1. تعارف
ڪمپنيون جن وٽ ريموٽ رسائي سسٽم موجود نه هئا انهن کي فوري طور تي مقرر ڪيو ويو ڪجهه مهينا اڳ. سڀئي منتظمين اهڙي ”گرمي“ لاءِ تيار نه هئا، جنهن جي نتيجي ۾ حفاظتي خاميون پيدا ٿيون: خدمتن جي غلط تشڪيل يا ان کان سواءِ سافٽ ويئر جي پراڻي ورزن جي انسٽاليشن به اڳ ۾ دريافت ٿيل خطرن سان. ڪجهه لاء، اهي غلطيون اڳ ۾ ئي تيز ٿي چڪا آهن، ٻيا وڌيڪ خوش قسمت هئا، پر هرڪو ضرور ضرور نتيجو ڪڍڻ گهرجي. ريموٽ ڪم جي وفاداري تيزي سان وڌي وئي آهي، ۽ وڌيڪ ۽ وڌيڪ ڪمپنيون ريموٽ ڪم کي قبول ڪري رهيا آهن هڪ جاري بنياد تي قابل قبول فارميٽ.
تنهن ڪري، ريموٽ رسائي فراهم ڪرڻ لاء ڪيترائي اختيار آهن: مختلف VPNs، RDS ۽ VNC، TeamViewer ۽ ٻيا. منتظمين وٽ چونڊڻ لاءِ ڪافي آھن، ھڪڙي ڪارپوريٽ نيٽ ورڪ ۽ ان ۾ ڊوائيسز جي تعمير جي خصوصيتن جي بنياد تي. وي پي اين حل سڀ کان وڌيڪ مشهور آهن، جڏهن ته، ڪيتريون ئي ننڍيون ڪمپنيون RDS (ريموٽ ڊيسڪ ٽاپ سروسز) چونڊيندا آهن، اهي ترتيب ڏيڻ لاء آسان ۽ تيز آهن.
هن آرٽيڪل ۾ اسان آر ڊي ايس سيڪيورٽي بابت وڌيڪ ڳالهائينداسين. اچو ته ڄاتل سڃاتل نقصانن جو مختصر جائزو وٺون، ۽ Active Directory جي بنياد تي نيٽ ورڪ انفراسٽرڪچر تي حملو شروع ڪرڻ لاءِ ڪيترن ئي منظرنامي تي پڻ غور ڪريو. اسان کي اميد آهي ته اسان جو مضمون ڪنهن جي مدد ڪندو بگ تي ڪم ڪرڻ ۽ سيڪيورٽي کي بهتر ڪرڻ ۾.
2. تازيون RDS/RDP ڪمزوريون
ڪنهن به سافٽ ويئر ۾ غلطيون ۽ ڪمزوريون هونديون آهن جن جو استحصال ڪري سگهجي ٿو حملو ڪندڙ، ۽ RDS ڪو به استثنا نه آهي. Microsoft تازي طور تي نون خطرن جي رپورٽ ڪري رهيو آهي، تنهنڪري اسان انهن کي هڪ مختصر جائزو ڏيڻ جو فيصلو ڪيو:
هي ڪمزوري صارفين کي خطري ۾ وجهي ٿو جيڪو سمجهوتي سرور سان ڳنڍي ٿو. هڪ حملو ڪندڙ صارف جي ڊوائيس جو ڪنٽرول حاصل ڪري سگهي ٿو يا مستقل ريموٽ رسائي حاصل ڪرڻ لاءِ سسٽم ۾ پير حاصل ڪري سگهي ٿو.
- / /
ڪمزورين جو هي گروپ هڪ غير تصديق ٿيل حملي آور کي اجازت ڏئي ٿو ته دور دراز طور تي هڪ خاص تيار ڪيل درخواست استعمال ڪندي RDS هلائيندڙ سرور تي صوابديدي ڪوڊ تي عمل ڪري. اهي ڪيڙا ٺاهڻ لاءِ پڻ استعمال ڪري سگھجن ٿا - مالويئر جيڪي آزاد طور تي نيٽ ورڪ تي پاڙيسري ڊوائيسز کي متاثر ڪن ٿا. اهڙيء طرح، اهي خطرات سڄي ڪمپني جي نيٽ ورڪ کي خطرو ڪري سگهن ٿا، ۽ صرف بروقت تازه ڪاريون انهن کي بچائي سگهن ٿيون.
ريموٽ رسائي سافٽ ويئر ٻنهي محققن ۽ حملي ڪندڙن کان وڌيڪ ڌيان حاصل ڪيو آهي، تنهنڪري اسان جلد ئي وڌيڪ هڪجهڙائي جي باري ۾ ٻڌي سگهون ٿا.
سٺي خبر اها آهي ته سڀني ڪمزورين وٽ عوامي استحصال موجود ناهي. خراب خبر اها آهي ته هڪ حملي آور لاءِ ماهرن لاءِ وضاحت جي بنياد تي ڪمزوري لاءِ استحصال لکڻ ڏکيو نه هوندو، يا پيچ ڊيفنگ (اسان جي ساٿين ان بابت لکيو. ). تنهن ڪري، اسان سفارش ڪريون ٿا ته توهان باقاعده سافٽ ويئر کي اپڊيٽ ڪيو ۽ دريافت ڪيل خطرن بابت نوان پيغامن جي ظاهر ٿيڻ جي نگراني ڪريو.
3. حملا
اسان آرٽيڪل جي ٻئي حصي ڏانهن وڃون ٿا، جتي اسان ڏيکارينداسين ته ڪيئن نيٽ ورڪ انفراسٽرڪچر تي حملا شروع ٿين ٿا ايڪٽو ڊائريڪٽري جي بنياد تي.
بيان ڪيل طريقا هڪ حملي آور جي هيٺين ماڊل تي لاڳو ٿين ٿا: هڪ حملو ڪندڙ جنهن وٽ صارف کاتو آهي ۽ ان جي رسائي آهي ريموٽ ڊيسڪ ٽاپ گيٽ وي - هڪ ٽرمينل سرور (اڪثر ڪري اهو پهچندو آهي، مثال طور، ٻاهرين نيٽ ورڪ کان). انهن طريقن کي استعمال ڪندي، حملو ڪندڙ انفراسٹرڪچر تي حملو جاري رکڻ ۽ نيٽ ورڪ تي پنهنجي موجودگي کي مضبوط ڪرڻ جي قابل هوندو.
هر مخصوص صورت ۾ نيٽ ورڪ جي تشڪيل مختلف ٿي سگهي ٿي، پر بيان ڪيل ٽيڪنڪ ڪافي عالمگير آهن.
محدود ماحول ڇڏڻ ۽ مراعات وڌائڻ جا مثال
جڏهن ريموٽ ڊيسڪ ٽاپ گيٽ وي تائين پهچندي، هڪ حملو ڪندڙ امڪاني طور تي ڪجهه قسم جي محدود ماحول سان منهن ڏيندو. جڏهن توهان هڪ ٽرمينل سرور سان ڳنڍيندا آهيو، ان تي هڪ ايپليڪيشن شروع ڪئي ويندي آهي: اندروني وسيلن، ايڪسپلورر، آفيس پيڪيجز يا ڪنهن ٻئي سافٽ ويئر لاءِ ريموٽ ڊيسڪ ٽاپ پروٽوڪول ذريعي ڳنڍڻ لاءِ هڪ ونڊو.
حملي آور جو مقصد هوندو رسائي حاصل ڪرڻ لاءِ حڪمن تي عمل ڪرڻ، يعني سي ايم ڊي يا پاور شيل لانچ ڪرڻ. ڪيترائي کلاسک ونڊوز سينڊ باڪس فرار ٽيڪنڪ هن سان مدد ڪري سگھن ٿيون. اچو ته ان تي وڌيڪ غور ڪريو.
اختياري 1. حملي آور کي ريموٽ ڊيسڪ ٽاپ گيٽ وي اندر ريموٽ ڊيسڪ ٽاپ ڪنيڪشن ونڊو تائين رسائي آهي:
"اختيار ڏيکاريو" مينيو کلي ٿو. ڪنيڪشن جي ترتيب واري فائلن کي ترتيب ڏيڻ لاء اختيار ظاهر ٿيندا آهن:
هن ونڊو مان توهان آساني سان ايڪسپلورر تائين رسائي ڪري سگهو ٿا ڪنهن به "اوپن" يا "محفوظ" بٽڻ تي ڪلڪ ڪري:
ايڪسپلورر کلي ٿو. ان جو ”ايڊريس بار“ ان کي ممڪن بڻائي ٿو ته اجازت ڏنل قابل عمل فائلن کي لانچ ڪرڻ سان گڏ فائل سسٽم جي لسٽنگ. اهو هڪ حملي ڪندڙ لاء ڪارائتو ٿي سگهي ٿو ڪيسن ۾ جتي سسٽم ڊرائيو لڪيل آهن ۽ سڌو سنئون رسائي نٿا ڪري سگهن:
→
ساڳيو منظر ٻيهر پيدا ڪري سگهجي ٿو، مثال طور، جڏهن Microsoft Office سوٽ مان Excel استعمال ڪندي ريموٽ سافٽ ويئر جي طور تي.
→
ان کان سواء، هن آفيس سوٽ ۾ استعمال ٿيل ميڪرو بابت نه وساريو. اسان جي ساٿين هن ۾ ميڪرو سيڪيورٽي جو مسئلو ڏٺو .
اختياري 2. ساڳئي ان پٽن کي استعمال ڪندي جيئن اڳئين ورزن ۾، حملو ڪندڙ ساڳئي اڪائونٽ تحت ريموٽ ڊيسڪ ٽاپ تي ڪيترائي ڪنيڪشن شروع ڪري ٿو. جڏهن توهان ٻيهر ڳنڍيندا آهيو، پهريون بند ڪيو ويندو، ۽ هڪ ونڊو هڪ غلطي نوٽيفڪيشن سان اسڪرين تي ظاهر ٿيندو. هن ونڊو ۾ هيلپ بٽڻ سرور تي انٽرنيٽ ايڪسپلورر کي ڪال ڪندو، جنهن کان پوءِ حملو ڪندڙ ايڪسپلورر ڏانهن وڃي سگهي ٿو.
→
اختياري 3. جيڪڏهن قابل عمل فائلن کي لانچ ڪرڻ تي پابنديون ترتيب ڏنل آهن، هڪ حملو ڪندڙ هڪ اهڙي صورتحال کي منهن ڏئي سگهي ٿو جتي گروپ پاليسيون منتظم کي cmd.exe هلائڻ کان منع ڪن ٿيون.
هن جي چوڌاري حاصل ڪرڻ جو هڪ طريقو آهي بٽ فائل کي هلائڻ سان ريموٽ ڊيسڪ ٽاپ تي مواد سان جهڙوڪ cmd.exe /K <command>. cmd شروع ڪرڻ وقت هڪ غلطي ۽ بيٽ فائل تي عمل ڪرڻ جو ڪامياب مثال هيٺ ڏنل شڪل ۾ ڏيکاريل آهي.
اختياري 4. قابل عمل فائلن جي نالي جي بنياد تي بليڪ لسٽن کي استعمال ڪندي ايپليڪيشنن جي لانچ کي منع ڪرڻ ڪو علاج نه آهي؛ انهن کي روڪي سگهجي ٿو.
ھيٺ ڏنل منظر تي غور ڪريو: اسان ڪمانڊ لائن تائين رسائي کي بند ڪري ڇڏيو آھي، گروپ پاليسين استعمال ڪندي انٽرنيٽ ايڪسپلورر ۽ پاور شيل جي لانچ کي روڪيو آھي. حملي آور مدد لاءِ سڏ ڪرڻ جي ڪوشش ڪري ٿو - ڪو جواب نه. پاور شيل لانچ ڪرڻ جي ڪوشش ڪري رهيو آهي هڪ ماڊل ونڊو جي حوالي سان مينيو ذريعي، جنهن کي سڏيو وڃي ٿو شفٽ ڪي دٻايو - هڪ پيغام جيڪو ظاهر ڪري ٿو ته لانچ کي منتظم طرفان منع ٿيل آهي. ايڊريس بار ذريعي پاور شيل لانچ ڪرڻ جي ڪوشش ڪري ٿو - ٻيهر ڪو جواب ناهي. پابنديءَ کان پاسو ڪيئن ڪجي؟
اهو ڪافي آهي ته powershell.exe C:WindowsSystem32WindowsPowerShellv1.0 فولڊر مان ڪاپي ڪريو يوزر فولڊر ۾، نالو تبديل ڪريو powershell.exe کان سواءِ ڪنهن ٻي شيءِ تي، ۽ لانچ آپشن ظاهر ٿيندو.
ڊفالٽ طور، جڏهن هڪ ريموٽ ڊيسڪ ٽاپ سان ڳنڍڻ، ڪلائنٽ جي مقامي ڊسڪ تائين رسائي فراهم ڪئي وئي آهي، جتان هڪ حملو ڪندڙ powershell.exe کي نقل ڪري سگهي ٿو ۽ ان کي تبديل ڪرڻ کان پوء هلائي سگهي ٿو.
→
اسان پابندين کي نظرانداز ڪرڻ لاءِ صرف چند طريقا ڏنا آهن؛ توهان ڪيترن ئي وڌيڪ منظرنامي سان اچي سگهو ٿا، پر انهن سڀني ۾ هڪ شيءِ عام آهي: ونڊوز ايڪسپلورر تائين رسائي. اتي ڪيتريون ئي ايپليڪيشنون آھن جيڪي معياري ونڊوز فائل مينيپوليشن اوزار استعمال ڪن ٿيون، ۽ جڏھن محدود ماحول ۾ رکيل آھن، ساڳي ٽيڪنالاجي استعمال ڪري سگھجن ٿيون.
4. سفارشون ۽ نتيجو
جيئن ته اسان ڏسي سگهون ٿا، جيتوڻيڪ هڪ محدود ماحول ۾ حملي جي ترقي لاء ڪمرو آهي. تنهن هوندي، توهان حملو ڪندڙ لاء زندگي وڌيڪ ڏکيو بڻائي سگهو ٿا. اسان عام سفارشون ڏيون ٿا جيڪي ڪارآمد هونديون ٻنهي اختيارن ۾ جن تي اسان غور ڪيو آهي ۽ ٻين ڪيسن ۾.
- گروپ پاليسين کي استعمال ڪندي پروگرام کي ڪارو/اڇي لسٽن تائين محدود ڪريو.
اڪثر ڪيسن ۾، جڏهن ته، ڪوڊ هلائڻ ممڪن آهي. اسان سفارش ڪريون ٿا ته توهان پاڻ کي پروجيڪٽ سان واقف ڪيو ، سسٽم تي فائلن کي ترتيب ڏيڻ ۽ ڪوڊ تي عمل ڪرڻ جي غير دستاويزي طريقن جو خيال رکڻ لاءِ.
اسان ٻنهي قسمن جي پابندين کي گڏ ڪرڻ جي صلاح ڏيو ٿا: مثال طور، توهان Microsoft پاران دستخط ڪيل عملدار فائلن جي لانچ جي اجازت ڏئي سگهو ٿا، پر cmd.exe جي لانچ کي محدود ڪريو. - انٽرنيٽ ايڪسپلورر سيٽنگون ٽيب کي بند ڪريو (رجسٽري ۾ مقامي طور تي ٿي سگهي ٿو).
- regedit ذريعي ونڊوز بلٽ ان مدد کي بند ڪريو.
- ريموٽ ڪنيڪشن لاءِ مقامي ڊسڪ کي نصب ڪرڻ جي صلاحيت کي غير فعال ڪريو جيڪڏهن اهڙي حد استعمال ڪندڙن لاءِ نازڪ نه آهي.
- ريموٽ مشين جي مقامي ڊرائيو تائين رسائي کي محدود ڪريو، رسائي صرف استعمال ڪندڙ فولڊر تائين.
اسان کي اميد آهي ته توهان ان کي گهٽ ۾ گهٽ دلچسپ محسوس ڪيو، ۽ وڌ ۾ وڌ، هي مضمون توهان جي ڪمپني جي ريموٽ ڪم کي محفوظ بنائڻ ۾ مدد ڪندو.
جو ذريعو: www.habr.com