1. تعارف
وہ کمپنیاں جن کے پاس ریموٹ ایکسیس سسٹم نہیں تھا انہوں نے چند ماہ قبل انہیں ہنگامی بنیادوں پر تعینات کیا تھا۔ تمام منتظمین ایسی "گرمی" کے لیے تیار نہیں تھے، نتیجتاً، حفاظتی نقائص: خدمات کی غلط ترتیب یا یہاں تک کہ سافٹ ویئر کے فرسودہ ورژنز کی تنصیب جس میں پہلے دریافت شدہ خطرات ہیں۔ ان میں سے کچھ کوتاہیاں پہلے ہی بومرینگ کی طرح واپس آچکی ہیں، دیگر زیادہ خوش قسمت تھے، لیکن سب کو یقینی طور پر نتیجہ اخذ کرنا چاہیے۔ دور دراز کے کام کے ساتھ وفاداری کئی گنا بڑھ گئی ہے، اور زیادہ سے زیادہ کمپنیاں دور دراز کے کام کو مسلسل بنیادوں پر قابل قبول شکل کے طور پر قبول کرتی ہیں۔
لہذا، ریموٹ رسائی فراہم کرنے کے لیے بہت سے اختیارات ہیں: مختلف VPNs، RDS اور VNC، TeamViewer اور دیگر۔ منتظمین کے پاس کارپوریٹ نیٹ ورک بنانے اور اس میں موجود آلات کی تفصیلات کی بنیاد پر انتخاب کرنے کے لیے بہت کچھ ہے۔ وی پی این سلوشنز سب سے زیادہ مقبول رہے، تاہم، بہت سی چھوٹی کمپنیاں RDS (ریموٹ ڈیسک ٹاپ سروسز) کا انتخاب کرتی ہیں، ان کو تعینات کرنا آسان اور تیز تر ہے۔
اس مضمون میں، ہم RDS سیکورٹی کے بارے میں مزید بات کریں گے۔ آئیے معلوم کمزوریوں کا ایک مختصر جائزہ لیں، اور ایکٹو ڈائریکٹری پر مبنی نیٹ ورک کے بنیادی ڈھانچے پر حملہ شروع کرنے کے لیے کئی منظرناموں پر بھی غور کریں۔ ہم امید کرتے ہیں کہ ہمارا مضمون کیڑے پر کام کرنے اور سیکیورٹی کو بہتر بنانے میں کسی کی مدد کرے گا۔
2. حالیہ RDS/RDP کمزوریاں
کسی بھی سافٹ ویئر میں کیڑے اور کمزوریاں ہوتی ہیں جن کا حملہ آور استعمال کرتے ہیں، اور RDS اس سے مستثنیٰ نہیں ہے۔ حال ہی میں، مائیکروسافٹ نے اکثر نئی کمزوریوں کی اطلاع دی ہے، ہم نے ان کا ایک مختصر جائزہ لینے کا فیصلہ کیا ہے:
یہ کمزوری سمجھوتہ شدہ سرور سے جڑنے والے صارفین کو بے نقاب کرتی ہے۔ ایک حملہ آور صارف کے آلے کا کنٹرول سنبھال سکتا ہے یا مستقل ریموٹ رسائی حاصل کرنے کے لیے سسٹم میں قدم جما سکتا ہے۔
- / /
کمزوریوں کا یہ گروپ غیر مجاز حملہ آور کو خاص طور پر تیار کردہ درخواست کا استعمال کرتے ہوئے RDS سرور پر صوابدیدی کوڈ کو دور سے لاگو کرنے کی اجازت دیتا ہے۔ انہیں کیڑے بنانے کے لیے بھی استعمال کیا جا سکتا ہے - میلویئر جو نیٹ ورک پر قریبی آلات کو خود ہی متاثر کرتا ہے۔ اس طرح، یہ کمزوریاں کمپنی کے پورے نیٹ ورک کو خطرے میں ڈال سکتی ہیں، اور صرف بروقت اپ ڈیٹ ہی انہیں ان سے بچائے گا۔
ریموٹ رسائی سافٹ ویئر نے محققین اور حملہ آوروں دونوں کی طرف سے زیادہ توجہ حاصل کی ہے، لہذا ہم جلد ہی اس طرح کے مزید خطرات کے بارے میں سن سکتے ہیں۔
اچھی خبر یہ ہے کہ تمام کمزوریوں میں عوامی کارنامے دستیاب نہیں ہیں۔ بری بات یہ ہے کہ مہارت کے حامل حملہ آور کے لیے تفصیل کے مطابق کمزوری کا استحصال لکھنا، یا پیچ ڈفنگ جیسی تکنیکوں کا استعمال کرنا مشکل نہیں ہوگا (ہمارے ساتھیوں نے اس کے بارے میں لکھا ہے۔ )۔ لہذا، ہم تجویز کرتے ہیں کہ آپ سافٹ ویئر کو باقاعدگی سے اپ ڈیٹ کرتے رہیں اور دریافت شدہ خطرات کے بارے میں نئے پیغامات کے ظہور کی نگرانی کریں۔
3. حملے
ہم مضمون کے دوسرے حصے کی طرف بڑھتے ہیں، جہاں ہم دکھائیں گے کہ ایکٹو ڈائریکٹری پر مبنی نیٹ ورک کے بنیادی ڈھانچے پر حملے کیسے شروع ہوتے ہیں۔
بیان کردہ طریقے مندرجہ ذیل حملہ آور ماڈل پر لاگو ہوتے ہیں: صارف کے اکاؤنٹ کے ساتھ حملہ آور اور ریموٹ ڈیسک ٹاپ گیٹ وے تک رسائی - ایک ٹرمینل سرور (اکثر قابل رسائی، مثال کے طور پر، بیرونی نیٹ ورک سے)۔ ان طریقوں کو لاگو کرنے سے، حملہ آور انفراسٹرکچر پر حملہ جاری رکھ سکے گا اور نیٹ ورک پر اپنی موجودگی کو مستحکم کر سکے گا۔
ہر معاملے میں نیٹ ورک کی ترتیب مختلف ہو سکتی ہے، لیکن بیان کردہ تکنیکیں کافی عالمگیر ہیں۔
محدود ماحول سے باہر نکلنے اور استحقاق کو بلند کرنے کی مثالیں۔
ریموٹ ڈیسک ٹاپ گیٹ وے تک رسائی کرتے وقت، حملہ آور کو کچھ محدود ماحول کا سامنا کرنا پڑتا ہے۔ ٹرمینل سرور سے منسلک ہونے پر، اس پر ایک ایپلیکیشن شروع کی جاتی ہے: اندرونی وسائل، ایکسپلورر، آفس سویٹس، یا کسی دوسرے سافٹ ویئر کے لیے ریموٹ ڈیسک ٹاپ پروٹوکول کے ذریعے جڑنے کے لیے ایک ونڈو۔
حملہ آور کا مقصد کمانڈز پر عمل درآمد تک رسائی حاصل کرنا ہو گا، یعنی cmd یا پاور شیل لانچ کرنا۔ ونڈوز سینڈ باکس سے بچنے کی چند کلاسک تکنیکیں اس میں مدد کر سکتی ہیں۔ آئیے ان پر مزید غور کریں۔
اختیار 1. ایک حملہ آور کو ریموٹ ڈیسک ٹاپ گیٹ وے کے اندر ریموٹ ڈیسک ٹاپ کنکشن ونڈو تک رسائی حاصل ہے:
"شو آپشنز" مینو کھلتا ہے۔ کنکشن کنفیگریشن فائلوں میں ہیرا پھیری کے اختیارات ظاہر ہوتے ہیں:
اس ونڈو سے کسی بھی "اوپن" یا "محفوظ" بٹن کو دبا کر ایکسپلورر تک آزادانہ رسائی حاصل کرنا ممکن ہے:
ایکسپلورر کھلتا ہے۔ اس کا "ایڈریس بار" آپ کو قابل عمل فائلوں کو چلانے کے ساتھ ساتھ فائل سسٹم کی فہرست بنانے کی صلاحیت فراہم کرتا ہے۔ یہ حملہ آور کے لیے مفید ہو سکتا ہے جب سسٹم ڈرائیوز چھپے ہوں اور ان تک براہ راست رسائی حاصل نہ کی جا سکے۔
→
اسی طرح کے منظر نامے کو دوبارہ پیش کیا جا سکتا ہے، مثال کے طور پر، Microsoft Office پیکیج سے ایکسل کو بطور ریموٹ سافٹ ویئر استعمال کرتے وقت۔
→
اس کے علاوہ، اس آفس سوٹ میں استعمال ہونے والے میکرو کے بارے میں مت بھولنا۔ ہمارے ساتھیوں نے اس میں میکرو سیکیورٹی کے مسئلے پر توجہ دی۔ .
اختیار 2. پچھلے ورژن کی طرح ان پٹس کا استعمال کرتے ہوئے، حملہ آور ایک ہی اکاؤنٹ کے تحت متعدد ریموٹ ڈیسک ٹاپ کنکشنز لانچ کرتا ہے۔ دوبارہ منسلک ہونے پر، پہلا بند ہو جائے گا، اور اسکرین پر ایک ایرر نوٹیفکیشن ونڈو نمودار ہوگی۔ اس ونڈو میں ہیلپ بٹن سرور پر انٹرنیٹ ایکسپلورر کو کال کرے گا، جس کے بعد حملہ آور ایکسپلورر پر جا سکتا ہے۔
→
اختیار 3. قابل عمل فائلوں کے اجراء پر ترتیب شدہ پابندیوں کے ساتھ، حملہ آور کو ایسی صورتحال کا سامنا کرنا پڑ سکتا ہے جہاں گروپ پالیسیاں منتظم کو cmd.exe شروع کرنے سے منع کرتی ہیں۔
cmd.exe /K <command> جیسے مواد کے ساتھ ریموٹ ڈیسک ٹاپ پر بیٹ فائل چلا کر اس کے ارد گرد حاصل کرنے کا ایک طریقہ ہے۔ cmd شروع کرتے وقت ایک خرابی اور بیٹ فائل کو چلانے کی ایک کامیاب مثال نیچے دی گئی تصویر میں دکھائی گئی ہے۔
اختیار 4. قابل عمل فائلوں کے نام سے بلیک لسٹ کا استعمال کرتے ہوئے ایپلی کیشنز کو لانچ کرنے کی ممانعت کوئی علاج نہیں ہے، انہیں نظرانداز کیا جا سکتا ہے۔
درج ذیل منظر نامے پر غور کریں: ہم نے کمانڈ لائن تک رسائی سے انکار کر دیا ہے، گروپ پالیسیوں کا استعمال کرتے ہوئے Internet Explorer اور PowerShell کے آغاز کو روک دیا ہے۔ حملہ آور مدد کے لیے پکارنے کی کوشش کرتا ہے - کوئی جواب نہیں۔ ایک موڈل ونڈو کے سیاق و سباق کے مینو کے ذریعے پاور شیل کو لانچ کرنے کی کوشش، جسے Shift کلید دبانے سے کہا جاتا ہے - منتظم کی طرف سے لانچ کی ممانعت کے بارے میں ایک پیغام۔ ایڈریس بار کے ذریعے پاور شیل شروع کرنے کی کوشش کرتا ہے - دوبارہ کوئی جواب نہیں ہے۔ پابندی کو کیسے نظرانداز کیا جائے؟
C:WindowsSystem32WindowsPowerShellv1.0 فولڈر سے powershell.exe کو یوزر فولڈر میں کاپی کرنے کے لیے کافی ہے، نام کو powershell.exe کے علاوہ کسی اور چیز میں تبدیل کریں، اور لانچ ظاہر ہو جائے گا۔
پہلے سے طے شدہ طور پر، ریموٹ ڈیسک ٹاپ سے منسلک ہونے پر، کلائنٹ کی مقامی ڈسکوں تک رسائی فراہم کی جاتی ہے، جہاں سے حملہ آور powershell.exe کو کاپی کر سکتا ہے اور نام تبدیل کرنے کے بعد اسے چلا سکتا ہے۔
→
ہم نے پابندیوں کو نظرانداز کرنے کے صرف چند طریقے بتائے ہیں، اور بھی بہت سے منظرنامے ہیں، لیکن یہ سب ونڈوز ایکسپلورر تک رسائی کے ذریعے متحد ہیں۔ ایسی بہت سی ایپلی کیشنز ہیں جو معیاری ونڈوز فائل مینیپولیشن ٹولز استعمال کرتی ہیں، اور جب انہیں محدود ماحول میں رکھا جائے تو اسی طرح کی تکنیکوں کا اطلاق کیا جا سکتا ہے۔
4. سفارشات اور نتیجہ
جیسا کہ ہم دیکھ سکتے ہیں، ایک محدود ماحول میں بھی حملے کی نشوونما کی گنجائش ہے۔ تاہم، حملہ آور کی زندگی کو پیچیدہ کرنا ممکن ہے۔ ہم عمومی سفارشات دیتے ہیں جو ہمارے زیر غور اختیارات اور دیگر معاملات دونوں میں مفید ہوں گی۔
- گروپ پالیسیوں کا استعمال کرتے ہوئے بلیک/وائٹ لسٹ کے ذریعے پروگراموں کے اجراء پر پابندی لگائیں۔
تاہم، زیادہ تر معاملات میں، کوڈ کو چلانا ممکن رہتا ہے۔ ہم تجویز کرتے ہیں کہ آپ اپنے آپ کو پروجیکٹ سے واقف کروائیں۔ فائلوں میں ہیرا پھیری کرنے اور سسٹم پر کوڈ کو چلانے کے غیر دستاویزی طریقوں کا اندازہ حاصل کرنے کے لیے۔
ہم تجویز کرتے ہیں کہ آپ دونوں قسم کی پابندیوں کو یکجا کریں: مثال کے طور پر، آپ Microsoft کے دستخط شدہ قابل عمل فائلوں کے اجراء کی اجازت دے سکتے ہیں، لیکن cmd.exe کے آغاز کو محدود کر سکتے ہیں۔ - انٹرنیٹ ایکسپلورر کی ترتیبات کے ٹیبز کو غیر فعال کریں (رجسٹری میں مقامی طور پر کیا جا سکتا ہے)۔
- regedit کے ذریعے ونڈوز بلٹ ان مدد کو غیر فعال کریں۔
- ریموٹ کنکشنز کے لیے لوکل ڈرائیوز کو ماؤنٹ کرنے کی صلاحیت کو غیر فعال کریں اگر ایسی پابندی صارفین کے لیے اہم نہیں ہے۔
- ریموٹ مشین کی مقامی ڈرائیوز تک رسائی کو محدود کریں، رسائی صرف صارف کے فولڈرز تک چھوڑ دیں۔
ہم امید کرتے ہیں کہ آپ کو کم از کم دلچسپی تھی، اور زیادہ سے زیادہ، یہ مضمون آپ کی کمپنی کے دور دراز کے کام کو محفوظ بنانے میں مدد کرے گا۔
ماخذ: www.habr.com