1. บทนำ
บริษัทต่างๆ ที่ไม่มีระบบการเข้าถึงระยะไกลได้ปรับใช้ระบบเหล่านี้อย่างเร่งด่วนเมื่อสองสามเดือนก่อน ผู้ดูแลระบบบางคนไม่ได้เตรียมพร้อมสำหรับ "ความร้อนแรง" ดังกล่าว ซึ่งส่งผลให้การรักษาความปลอดภัยล่มสลาย: การกำหนดค่าบริการที่ไม่ถูกต้อง หรือแม้แต่การติดตั้งซอฟต์แวร์เวอร์ชันล้าสมัยซึ่งมีช่องโหว่ที่ค้นพบก่อนหน้านี้ สำหรับบางคน การละเลยเหล่านี้ได้บูมเมอแรงแล้ว ส่วนคนอื่นๆ โชคดีกว่า แต่ทุกคนควรได้ข้อสรุปอย่างแน่นอน ความภักดีต่อการทำงานจากระยะไกลเพิ่มขึ้นอย่างมาก และบริษัทต่างๆ จำนวนมากขึ้นเรื่อยๆ ยอมรับการทำงานจากระยะไกลเป็นรูปแบบที่ยอมรับได้อย่างต่อเนื่อง
ดังนั้นจึงมีตัวเลือกมากมายสำหรับการเข้าถึงระยะไกล: VPN ต่างๆ, RDS และ VNC, TeamViewer และอื่นๆ ผู้ดูแลระบบมีตัวเลือกมากมาย โดยขึ้นอยู่กับลักษณะเฉพาะของการสร้างเครือข่ายองค์กรและอุปกรณ์ในนั้น โซลูชัน VPN ยังคงได้รับความนิยมสูงสุด อย่างไรก็ตาม บริษัทขนาดเล็กจำนวนมากเลือก RDS (Remote Desktop Services) ซึ่งปรับใช้ง่ายกว่าและเร็วกว่า
ในบทความนี้ เราจะพูดคุยเพิ่มเติมเกี่ยวกับความปลอดภัยของ RDS เรามาสร้างภาพรวมโดยย่อเกี่ยวกับช่องโหว่ที่ทราบ และพิจารณาสถานการณ์ต่างๆ สำหรับการโจมตีโครงสร้างพื้นฐานเครือข่ายที่ใช้ Active Directory เราหวังว่าบทความของเราจะช่วยให้ผู้อื่นแก้ไขจุดบกพร่องและปรับปรุงความปลอดภัยได้
2. ช่องโหว่ RDS/RDP ล่าสุด
ซอฟต์แวร์ใดๆ มีข้อผิดพลาดและช่องโหว่ที่ผู้โจมตีสามารถนำไปใช้ประโยชน์ได้ และ RDS ก็ไม่มีข้อยกเว้น Microsoft ได้รับการรายงานช่องโหว่ใหม่ๆ บ่อยครั้งเมื่อเร็วๆ นี้ ดังนั้นเราจึงตัดสินใจให้ภาพรวมโดยย่อแก่พวกเขา:
ช่องโหว่นี้ทำให้ผู้ใช้ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่ถูกบุกรุกตกอยู่ในความเสี่ยง ผู้โจมตีสามารถควบคุมอุปกรณ์ของผู้ใช้หรือตั้งหลักในระบบเพื่อให้มีการเข้าถึงระยะไกลอย่างถาวร
- / /
กลุ่มช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ที่ใช้ RDS โดยใช้คำขอที่สร้างขึ้นเป็นพิเศษ นอกจากนี้ยังสามารถใช้เพื่อสร้างเวิร์ม ซึ่งเป็นมัลแวร์ที่จะแพร่ระบาดไปยังอุปกรณ์ข้างเคียงบนเครือข่ายอย่างอิสระ ดังนั้นช่องโหว่เหล่านี้อาจเป็นอันตรายต่อเครือข่ายทั้งหมดของบริษัท และมีเพียงการอัปเดตที่ทันเวลาเท่านั้นที่สามารถช่วยได้
ซอฟต์แวร์การเข้าถึงระยะไกลได้รับความสนใจเพิ่มขึ้นจากทั้งนักวิจัยและผู้โจมตี ดังนั้นในไม่ช้าเราอาจได้ยินเกี่ยวกับช่องโหว่ที่คล้ายกันมากขึ้น
ข่าวดีก็คือไม่ใช่ทุกช่องโหว่ที่สามารถหาประโยชน์จากสาธารณะได้ ข่าวร้ายก็คือว่า มันจะไม่ใช่เรื่องยากสำหรับผู้โจมตีที่มีความเชี่ยวชาญในการเขียนช่องโหว่ตามคำอธิบาย หรือใช้เทคนิคเช่น Patch Diffing (เพื่อนร่วมงานของเราเขียนเกี่ยวกับเรื่องนี้ใน ). ดังนั้นเราขอแนะนำให้คุณอัปเดตซอฟต์แวร์เป็นประจำและตรวจสอบลักษณะที่ปรากฏของข้อความใหม่เกี่ยวกับช่องโหว่ที่ค้นพบ
3. การโจมตี
เราไปยังส่วนที่สองของบทความ ซึ่งเราจะแสดงให้เห็นว่าการโจมตีโครงสร้างพื้นฐานเครือข่ายตาม Active Directory เริ่มต้นอย่างไร
วิธีการที่อธิบายไว้ใช้ได้กับผู้โจมตีรุ่นต่อไปนี้: ผู้โจมตีที่มีบัญชีผู้ใช้และมีสิทธิ์เข้าถึงเกตเวย์เดสก์ท็อประยะไกล - เทอร์มินัลเซิร์ฟเวอร์ (มักจะสามารถเข้าถึงได้ เช่น จากเครือข่ายภายนอก) ด้วยการใช้วิธีการเหล่านี้ ผู้โจมตีจะสามารถโจมตีโครงสร้างพื้นฐานต่อไปและรวมสถานะของเขาบนเครือข่ายได้
การกำหนดค่าเครือข่ายในแต่ละกรณีอาจแตกต่างกัน แต่เทคนิคที่อธิบายไว้นั้นค่อนข้างเป็นสากล
ตัวอย่างการออกจากสภาพแวดล้อมที่ถูกจำกัดและการเพิ่มสิทธิพิเศษ
เมื่อเข้าถึง Remote Desktop Gateway ผู้โจมตีอาจพบกับสภาพแวดล้อมที่ถูกจำกัดบางประเภท เมื่อคุณเชื่อมต่อกับเทอร์มินัลเซิร์ฟเวอร์ แอปพลิเคชันจะเปิดขึ้น: หน้าต่างสำหรับการเชื่อมต่อผ่านโปรโตคอลเดสก์ท็อประยะไกลสำหรับทรัพยากรภายใน Explorer แพ็คเกจสำนักงาน หรือซอฟต์แวร์อื่น ๆ
เป้าหมายของผู้โจมตีคือการเข้าถึงเพื่อดำเนินการคำสั่งนั่นคือเพื่อเรียกใช้ cmd หรือ powershell เทคนิคการหลบหนีแซนด์บ็อกซ์ Windows แบบคลาสสิกหลายประการสามารถช่วยได้ ลองพิจารณาเพิ่มเติม
ตัวเลือก 1. ผู้โจมตีสามารถเข้าถึงหน้าต่างการเชื่อมต่อเดสก์ท็อประยะไกลภายในเกตเวย์เดสก์ท็อประยะไกล:
เมนู "แสดงตัวเลือก" จะเปิดขึ้น ตัวเลือกปรากฏขึ้นสำหรับจัดการไฟล์การกำหนดค่าการเชื่อมต่อ:
จากหน้าต่างนี้ คุณสามารถเข้าถึง Explorer ได้อย่างง่ายดายโดยคลิกปุ่ม "เปิด" หรือ "บันทึก" ใดก็ได้:
นักสำรวจจะเปิดขึ้น “แถบที่อยู่” ทำให้สามารถเปิดไฟล์ปฏิบัติการที่ได้รับอนุญาตได้ เช่นเดียวกับการแสดงรายการระบบไฟล์ สิ่งนี้มีประโยชน์สำหรับผู้โจมตีในกรณีที่ไดรฟ์ระบบถูกซ่อนอยู่และไม่สามารถเข้าถึงได้โดยตรง:
→
สถานการณ์ที่คล้ายกันสามารถทำซ้ำได้ ตัวอย่างเช่น เมื่อใช้ Excel จากชุดโปรแกรม Microsoft Office เป็นซอฟต์แวร์ระยะไกล
→
นอกจากนี้อย่าลืมเกี่ยวกับมาโครที่ใช้ในชุดโปรแกรมสำนักงานนี้ เพื่อนร่วมงานของเราได้พิจารณาถึงปัญหาความปลอดภัยของมาโครในเรื่องนี้ .
ตัวเลือก 2. ผู้โจมตีจะเปิดการเชื่อมต่อหลายรายการไปยังเดสก์ท็อประยะไกลภายใต้บัญชีเดียวกันโดยใช้อินพุตเดียวกันกับเวอร์ชันก่อนหน้า เมื่อคุณเชื่อมต่อใหม่ หน้าต่างแรกจะถูกปิด และหน้าต่างที่มีการแจ้งเตือนข้อผิดพลาดจะปรากฏขึ้นบนหน้าจอ ปุ่มช่วยเหลือในหน้าต่างนี้จะเรียก Internet Explorer บนเซิร์ฟเวอร์ หลังจากนั้นผู้โจมตีสามารถไปที่ Explorer ได้
→
ตัวเลือก 3. หากมีการกำหนดค่าข้อจำกัดในการเปิดไฟล์ปฏิบัติการ ผู้โจมตีอาจพบสถานการณ์ที่นโยบายกลุ่มห้ามไม่ให้ผู้ดูแลระบบเรียกใช้ cmd.exe
มีวิธีแก้ไขปัญหานี้ด้วยการเรียกใช้ไฟล์ bat บนเดสก์ท็อประยะไกลที่มีเนื้อหาเช่น cmd.exe /K <command> ข้อผิดพลาดเมื่อเริ่ม cmd และตัวอย่างการรันไฟล์ bat ที่ประสบความสำเร็จแสดงในรูปด้านล่าง
ตัวเลือก 4. การห้ามไม่ให้เปิดแอปพลิเคชันโดยใช้บัญชีดำตามชื่อของไฟล์ปฏิบัติการนั้นไม่ใช่ยาครอบจักรวาล แต่สามารถหลีกเลี่ยงได้
พิจารณาสถานการณ์ต่อไปนี้: เราได้ปิดใช้งานการเข้าถึงบรรทัดคำสั่ง ป้องกันการเปิดตัว Internet Explorer และ PowerShell โดยใช้นโยบายกลุ่ม ผู้โจมตีพยายามโทรขอความช่วยเหลือ - ไม่มีการตอบสนอง กำลังพยายามเปิด PowerShell ผ่านเมนูบริบทของหน้าต่างโมดอลซึ่งเรียกโดยกดปุ่ม Shift - ข้อความระบุว่าผู้ดูแลระบบห้ามการเปิดตัว พยายามเปิด PowerShell ผ่านแถบที่อยู่ - ไม่มีการตอบสนองอีกครั้ง จะข้ามข้อจำกัดได้อย่างไร?
การคัดลอก powershell.exe จากโฟลเดอร์ C:WindowsSystem32WindowsPowerShellv1.0 ไปยังโฟลเดอร์ผู้ใช้ก็เพียงพอแล้ว เปลี่ยนชื่อเป็นชื่ออื่นที่ไม่ใช่ powershell.exe จากนั้นตัวเลือกการเปิดตัวจะปรากฏขึ้น
ตามค่าเริ่มต้น เมื่อเชื่อมต่อกับเดสก์ท็อประยะไกล จะมีการจัดเตรียมการเข้าถึงดิสก์ในเครื่องไคลเอ็นต์ โดยที่ผู้โจมตีสามารถคัดลอก Powershell.exe และเรียกใช้หลังจากเปลี่ยนชื่อแล้ว
→
เราได้ให้วิธีการหลีกเลี่ยงข้อจำกัดเหล่านี้มาเพียงไม่กี่วิธี คุณสามารถสร้างสถานการณ์ได้อีกมากมาย แต่ทั้งหมดมีสิ่งหนึ่งที่เหมือนกัน นั่นคือ การเข้าถึง Windows Explorer มีแอปพลิเคชั่นมากมายที่ใช้เครื่องมือจัดการไฟล์ Windows มาตรฐาน และเมื่อวางไว้ในสภาพแวดล้อมที่จำกัด ก็สามารถใช้เทคนิคที่คล้ายกันได้
4. ข้อเสนอแนะและข้อสรุป
ดังที่เราเห็น แม้ในสภาพแวดล้อมที่จำกัด ก็ยังมีพื้นที่สำหรับการพัฒนาการโจมตี อย่างไรก็ตาม คุณสามารถทำให้ชีวิตยากขึ้นสำหรับผู้โจมตีได้ เราให้คำแนะนำทั่วไปที่จะเป็นประโยชน์ทั้งในตัวเลือกที่เราได้พิจารณาและในกรณีอื่น ๆ
- จำกัดการเปิดตัวโปรแกรมเป็นรายการขาวดำโดยใช้นโยบายกลุ่ม
อย่างไรก็ตาม ในกรณีส่วนใหญ่ ยังคงสามารถเรียกใช้โค้ดได้ เราขอแนะนำให้คุณทำความคุ้นเคยกับโครงการ เพื่อให้มีแนวคิดเกี่ยวกับวิธีการจัดการไฟล์และการรันโค้ดบนระบบที่ไม่มีเอกสาร
เราขอแนะนำให้รวมข้อจำกัดทั้งสองประเภทเข้าด้วยกัน ตัวอย่างเช่น คุณสามารถอนุญาตให้เปิดใช้งานไฟล์ปฏิบัติการที่ลงนามโดย Microsoft แต่จำกัดการเปิดตัว cmd.exe - ปิดการใช้งานแท็บการตั้งค่า Internet Explorer (สามารถทำได้ในเครื่องของรีจิสทรี)
- ปิดใช้งานวิธีใช้ในตัวของ Windows ผ่าน regedit
- ปิดใช้งานความสามารถในการเมานต์ดิสก์ภายในเครื่องสำหรับการเชื่อมต่อระยะไกล หากข้อจำกัดดังกล่าวไม่สำคัญสำหรับผู้ใช้
- จำกัดการเข้าถึงไดรฟ์ในเครื่องของเครื่องระยะไกล โดยปล่อยให้เข้าถึงได้เฉพาะโฟลเดอร์ผู้ใช้เท่านั้น
เราหวังว่าคุณจะพบว่าอย่างน้อยก็น่าสนใจ และที่สำคัญที่สุด บทความนี้จะช่วยให้การทำงานระยะไกลของบริษัทของคุณปลอดภัยยิ่งขึ้น
ที่มา: will.com