Hace unos días apareció un video en la web que une a una entrada de blog sobre el uso de una sesión RDP de secuestrar una cuenta de administrador con unos simples comandos de servidor de Windows que permiten una creación de un servicio de. Lo que es interesante es que el hallazgo es nada nuevo y existe desde 2011, pero nadie hizo nada para solucionarlo.
Como funciona?
Todo lo que el atacante debe tener secuestrar el servidor es el acceso a la línea de comandos. Desde allí, el atacante puede comprobar si la cuenta pertenece al administrador escribiendo el comando:
→ > whoami
Después de este, si la cuenta del servidor pertenece a un administrador, el atacante puede Cuál es el dominio relacionado con el equipo con el siguiente comando:
→ > Wmic Computersystem obtener dominio
Si el usuario de administración dispone de una contraseña activada, el atacante usará el siguiente comando para obtener la SESSIONNAME de la sesión actual con el servidor. El comando es el siguiente:
→ > Consulta del usuario
Después de este, el atacante se presenta una tabla con el estado de las sesiones (Las sesiones activas y desconectadas), los tiempos de inactividad, los tiempos de inicio de sesión y los nombres de usuario que les corresponden. Desde allí, el atacante puede aprovechar la SESSIONNAME que por lo general se parece a la siguiente - RDP-TCP # 80. El proceso de secuestro en sí se realiza mediante el siguiente comando que se utiliza para hacerse cargo de una sesión activa:
→ > Sc crear sesshijack binpath = “cmd.exe / k tscon / dest:RDP-TCP # 80”
(la RDP-TCP es el nombre de la sesión que es variable)
A continuación, se utiliza el comando net start:
→ > Sesshijack Net start
Y a continuación, la nueva sesión ha comenzado, esta vez de la cuenta de administrador, sin pasar directamente a la necesidad de introducir la contraseña administrativa. Desde allí, en la nueva sesión cuando se escribe la> comando whoami, el usuario debe ser capaz de dar testimonio de que ahora es la cuenta administrativa. Desde allí, la propia contraseña se puede cambiar escribiendo el siguiente comando:
→ > Nopernik net user {nueva contraseña} /añadir / dom
En este punto se cambia la contraseña y el comando net group puede utilizarse para modificar los administradores de dominio.
Lo que es interesante es que el hacker cuestionable que está haciendo los, llamado Alexander Korznikov también ha realizado otras características de secuestro de sesión en su canal de YouTube y se explica en su blog(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) que este está activo, incluso para las nuevas versiones de Windows Server. Aquí están las versiones en las que se puede producir este secuestro sesiones RDP:
- Ventanas 2008
- Ventanas 7
- Ventanas 2012 R2
- Ventanas 10
- Ventanas 2016
¿Cuál es la vida real impacto de esta
En realidad, El investigador explica que si alguien tiene el acceso al servidor puede tomar ventaja de los diversos usuarios en el servidor. Estos pueden ser los empleados que están en una pausa para el almuerzo y han bloqueado temporalmente sus ordenadores. Si hay un sistema para la gestión financiera, como punto de venta u otros sistemas de facturación, el administrador del sistema puede modificar los y controlarlos con comandos que son por lo general pre-incrustados. Y lo que es peor que ningún software malicioso es necesario por el atacante, sólo los comandos simples para Windows. El investigador también ha señalado que, finalmente, esto es sólo un escenario y puede haber muchos muchos otros escenarios en los perfiles de usuario pueden ser espiados y manipulado en el exterior y el ataque es muy difícil de ser detectado.
Ventsislav Krastev
Ventsislav es un experto en ciberseguridad en SensorsTechForum desde 2015. El ha estado investigando, cubierta, ayudando a las víctimas con las últimas infecciones de malware, además de probar y revisar software y los últimos desarrollos tecnológicos. Tener la comercialización graduado, así, Ventsislav también tiene pasión por aprender nuevos cambios e innovaciones en ciberseguridad que se conviertan en un cambio de juego.. Después de estudiar Value Chain Management, Administración de redes y administración de computadoras de aplicaciones del sistema, encontró su verdadero llamado dentro de la industria de la ciberseguridad y cree firmemente en la educación de cada usuario hacia la seguridad en línea.
Sígueme: