1. Pambuka
Perusahaan anu henteu ngagaduhan sistem aksés jauh di tempatna gancang-gancang nyebarkeun aranjeunna sababaraha bulan kapengker. Henteu sadayana pangurus disiapkeun pikeun "panas" sapertos kitu, anu nyababkeun lapses kaamanan: konfigurasi jasa anu salah atanapi bahkan pamasangan vérsi parangkat lunak anu luntur sareng kerentanan anu kapendak sateuacana. Kanggo sababaraha, omissions ieu geus boomeranged, batur éta leuwih untung, tapi dulur pasti kudu nyieun conclusions. Kasatiaan kana padamelan jarak jauh parantos ningkat sacara éksponénsial, sareng langkung seueur perusahaan anu nampi padamelan jarak jauh salaku format anu tiasa ditampi sacara terus-terusan.
Janten, aya seueur pilihan pikeun nyayogikeun aksés jauh: sababaraha VPN, RDS sareng VNC, TeamViewer sareng anu sanésna. Administrator gaduh seueur pilihan, dumasar kana spésifik ngawangun jaringan perusahaan sareng alat di jerona. Solusi VPN tetep pang populerna, kumaha oge, loba pausahaan leutik milih RDS (Layanan Desktop Jauh), aranjeunna basajan tur gancang nyebarkeun.
Dina artikel ieu kami bakal ngobrol langkung seueur ngeunaan kaamanan RDS. Hayu urang ngadamel tinjauan ringkes ngeunaan kerentanan anu dipikanyaho, sareng ogé mertimbangkeun sababaraha skenario pikeun ngaluncurkeun serangan kana infrastruktur jaringan dumasar kana Active Directory. Kami ngarepkeun tulisan kami bakal ngabantosan batur pikeun ngerjakeun bug sareng ningkatkeun kaamanan.
2. RDS panganyarna / kerentanan RDP
Sakur parangkat lunak ngandung kasalahan sareng kerentanan anu tiasa dieksploitasi ku panyerang, sareng RDS henteu aya pengecualian. Microsoft parantos sering ngalaporkeun kerentanan anyar akhir-akhir ieu, janten kami mutuskeun pikeun masihan aranjeunna tinjauan ringkes:
Kerentanan ieu nempatkeun pangguna anu nyambung ka server anu dikompromi dina résiko. Panyerang tiasa ngontrol alat pangguna atanapi kéngingkeun tapak dina sistem pikeun gaduh aksés jauh permanén.
- / /
Grup kerentanan ieu ngamungkinkeun panyerang anu henteu dioténtikasi pikeun jarak jauh ngaéksekusi kode sawenang dina server anu ngajalankeun RDS nganggo pamundut anu didamel khusus. Éta ogé tiasa dianggo pikeun nyiptakeun cacing-malware anu sacara mandiri nginféksi alat tatangga dina jaringan. Ku kituna, kerentanan ieu tiasa ngabahayakeun sadaya jaringan perusahaan, sareng ngan ukur pembaruan anu pas waktosna tiasa nyalametkeunana.
Parangkat lunak aksés jauh parantos nampi perhatian anu langkung ageung ti panaliti sareng panyerang, ku kituna urang enggal ngadangu ngeunaan kerentanan anu langkung sami.
Warta anu saé nyaéta henteu sadayana kerentanan ngagaduhan garapan umum. Warta anu goréng nyaéta moal hésé pikeun panyerang anu gaduh kaahlian nyerat eksploitasi pikeun kerentanan dumasar kana katerangan, atanapi nganggo téknik sapertos Patch Diffing (rekan urang nyerat ngeunaan éta dina ). Ku alatan éta, kami nyarankeun yén anjeun rutin ngapdet parangkat lunak sareng ngawas penampilan pesen anyar ngeunaan kerentanan anu kapanggih.
3. Serangan
Urang ngaléngkah ka bagian kadua tulisan, dimana urang bakal nunjukkeun kumaha serangan dina infrastruktur jaringan dumasar kana Active Directory dimimitian.
Métode anu dijelaskeun tiasa dianggo pikeun modél panyerang ieu: panyerang anu gaduh akun pangguna sareng gaduh aksés kana Remote Desktop Gateway - server terminal (sering tiasa diaksés, contona, tina jaringan éksternal). Ku ngagunakeun metodeu ieu, panyerang bakal tiasa neraskeun serangan kana infrastruktur sareng ngahijikeun ayana dina jaringan.
Konfigurasi jaringan dina unggal hal husus bisa jadi béda, tapi téknik digambarkeun cukup universal.
Conto ninggalkeun lingkungan anu diwatesan sareng ningkatkeun hak husus
Nalika ngaksés Gerbang Desktop Jauh, panyerang sigana bakal mendakan sababaraha jinis lingkungan anu diwatesan. Sawaktos Anjeun nyambung ka server terminal, hiji aplikasi dibuka dina eta: jandela pikeun nyambungkeun via protokol Remote Desktop pikeun sumberdaya internal, Explorer, bungkusan kantor atawa software lianna.
Tujuan panyerang bakal kéngingkeun aksés pikeun ngaéksekusi paréntah, nyaéta, ngaluncurkeun cmd atanapi powershell. Sababaraha téhnik ngewa sandbox Windows klasik tiasa ngabantosan ieu. Hayu urang mertimbangkeun aranjeunna salajengna.
pilihan 1. Panyerang ngagaduhan aksés kana jandela sambungan Desktop Jauh dina Gateway Desktop Jauh:
Menu "Témbongkeun Pilihan" muka. Pilihan muncul pikeun ngamanipulasi file konfigurasi sambungan:
Tina jandela ieu anjeun tiasa kalayan gampang ngaksés Explorer ku ngaklik salah sahiji tombol "Buka" atanapi "Simpen":
Explorer dibuka. "Alamat bar" ngamungkinkeun pikeun ngaluncurkeun file anu tiasa dieksekusi, ogé daptar sistem file. Ieu tiasa mangpaat pikeun panyerang dina kasus dimana drive sistem disumputkeun sareng teu tiasa diaksés langsung:
→
Skenario anu sami tiasa diulang, contona, nalika nganggo Excel tina suite Microsoft Office salaku parangkat lunak jauh.
→
Salaku tambahan, ulah hilap ngeunaan makro anu dianggo dina suite kantor ieu. Kolega urang ningal masalah kaamanan makro dina ieu .
pilihan 2. Nganggo input anu sami sareng versi sateuacana, panyerang ngaluncurkeun sababaraha sambungan ka desktop jauh dina akun anu sami. Nalika anjeun nyambungkeun deui, anu kahiji bakal ditutup, sareng jandela kalayan béwara kasalahan bakal muncul dina layar. Tombol pitulung dina jandela ieu bakal nyauran Internet Explorer dina server, saatos éta panyerang tiasa angkat ka Explorer.
→
pilihan 3. Upami larangan pikeun ngaluncurkeun file anu tiasa dieksekusi dikonpigurasi, panyerang tiasa ngalaman kaayaan dimana kabijakan grup ngalarang administrator ngajalankeun cmd.exe.
Aya cara pikeun ngurilingan ieu ku ngajalankeun file bat dina desktop jauh kalayan eusi sapertos cmd.exe / K <command>. Kasalahan nalika ngamimitian cmd sareng conto suksés ngaéksekusi file bat dipidangkeun dina gambar di handap ieu.
pilihan 4. Nyaram peluncuran aplikasi nganggo daptar hideung dumasar kana nami file anu tiasa dieksekusi sanés panacea; aranjeunna tiasa dihindari.
Pertimbangkeun skenario di handap ieu: kami parantos nganonaktipkeun aksés kana garis paréntah, nyegah peluncuran Internet Explorer sareng PowerShell nganggo kawijakan grup. Panyerang nyoba nelepon pikeun pitulung - euweuh respon. Nyobian ngaluncurkeun powershell ngalangkungan menu kontéks tina jandela modal, anu disebat ku tombol Shift dipencet - pesen anu nunjukkeun yén peluncuran dilarang ku administrator. Nyobaan ngajalankeun powershell ngaliwatan bar alamat - deui euweuh respon. Kumaha cara ngalangkungan larangan?
Ieu cukup pikeun nyalin powershell.exe tina folder C:WindowsSystem32WindowsPowerShellv1.0 kana folder pamaké, ngaganti ngaran ka hal lian ti powershell.exe, sarta pilihan peluncuran bakal muncul.
Sacara standar, nalika nyambungkeun ka desktop jauh, aksés ka disk lokal klien disayogikeun, ti mana panyerang tiasa nyalin powershell.exe sareng ngajalankeunana saatos namina deui.
→
Kami ngan ukur masihan sababaraha cara pikeun ngalangkungan larangan; anjeun tiasa ngadamel langkung seueur skenario, tapi aranjeunna sadayana gaduh hiji hal anu umum: aksés ka Windows Explorer. Aya seueur aplikasi anu nganggo alat manipulasi file Windows standar, sareng nalika disimpen dina lingkungan anu terbatas, téknik anu sami tiasa dianggo.
4. Saran jeung kacindekan
Sakumaha anu urang tingali, bahkan dina lingkungan anu terbatas aya rohangan pikeun pangembangan serangan. Nanging, anjeun tiasa ngajantenkeun kahirupan langkung hese pikeun panyerang. Kami nyayogikeun saran umum anu bakal mangpaat boh dina pilihan anu kami anggap sareng dina kasus anu sanés.
- Ngawatesan peluncuran program ka hideung / daptar bodas ngagunakeun kawijakan grup.
Dina kalolobaan kasus, kumaha oge, eta tetep mungkin pikeun ngajalankeun kode. Kami nyarankeun yén anjeun familiarize diri sareng proyék éta , pikeun gaduh ide ngeunaan cara anu teu didokumentasikeun pikeun ngamanipulasi file sareng ngalaksanakeun kode dina sistem.
Kami ngarékoméndasikeun ngagabungkeun dua jinis larangan: contona, anjeun tiasa ngijinkeun peluncuran file laksana anu ditandatanganan ku Microsoft, tapi ngabatesan peluncuran cmd.exe. - Pareuman tab setélan Internet Explorer (tiasa dilakukeun sacara lokal dina pendaptaran).
- Pareuman Windows diwangun-di pitulung via regedit.
- Pareuman kamampuhan pikeun masang disk lokal pikeun sambungan jauh lamun watesan misalna teu kritis pikeun pamaké.
- Ngawatesan aksés ka drive lokal tina mesin jauh, ninggalkeun aksés ngan ka polder pamaké.
Kami ngarepkeun anjeun mendakan éta sahenteuna pikaresepeun, sareng maksimal, tulisan ieu bakal ngabantosan damel jauh perusahaan anjeun langkung aman.
sumber: www.habr.com