Kun få dage siden en video dukkede op på nettet linker til et blogindlæg om, hvordan man bruger en RDP session at kapre en administratorkonto med få enkle kommandoer i Windows-server, der tillader en skabelse af en tjeneste. Det interessante er, at konstateringen er ikke noget nyt og har været gældende siden 2011, men ingen gjorde noget for at løse det.
Hvordan virker det?
Alt, at angriberen skal have for at kapre serveren er adgang til kommandoprompten. Derfra, hackeren kan kontrollere, om kontoen tilhører administratoren ved at skrive kommandoen:
→ > whoami
Efter dette, hvis kontoen på serveren tilhører en administrator, angriberen kan hvad er det domæne relateret til computeren med følgende kommando:
→ > Wmic computersystem få domæne
Hvis den administrative bruger har en aktiveret adgangskode, angriberen vil bruge følgende kommando for at få SESSIONNAME af den aktuelle session med serveren. Kommandoen er som følger:
→ > Query bruger
Efter dette, angriberen præsenteres en tabel med tilstanden af de sessioner (Aktive og afbrudte sessioner), tomgangstider, login tider og de brugernavne, der svarer til dem. Derfra, hackeren kan drage fordel af den SESSIONNAME som normalt ligner følgende - RDP-tcp # 80. Kapringen selve processen gøres ved følgende kommando som bruges til at overtage en aktiv session:
→ > Sc skabe sesshijack binpath = ”cmd.exe / k tscon / dest:RDP-tcp # 80”
(RDP-TCP er sessionen navn, som er variabel)
Så bliver brugt nettet startkommando:
→ > Net starten sesshijack
Og så den nye session er begyndt, denne gang fra administratorkonto, direkte uden om nødvendigt at indtaste administrativ adgangskode. Derfra, på den nye session, når> whoami kommando indtastes, brugeren skal kunne vidne, at nu kontoen er administrativt. Derfra, kodeordet selv kan ændres ved at skrive følgende kommando:
→ > Netto bruger nopernik {nyt kodeord} /tilføj / dom
På dette tidspunkt adgangskoden ændres og kommandoen netto gruppe kan bruges til at ændre domæne administratorer.
Det interessante er, at den tvivlsomme hacker, der gør dem, opkaldt Alexander Korznikov har også udført andre sessionskidnapning funktioner på sin YouTube-kanal og forklarede i sin blog(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) at dette er aktivt for selv de nyeste Windows Server-versioner. Her er de versioner, som kan forekomme denne RDP kapring sessioner:
- Vinduer 2008
- Vinduer 7
- Vinduer 2012 R2
- Vinduer 10
- Vinduer 2016
Hvad er den virkelige konsekvenser af denne
I virkeligheden, forskeren forklarer, at hvis nogen har adgang til serveren kan drage fordel af forskellige brugere på serveren. Disse kan være medarbejdere, der er på en frokostpause og har låst deres computere midlertidigt. Hvis der er et system til økonomistyring, ligesom POS eller andre faktureringssystemer, sysadmin kan ændre dem og kontrollere dem med kommandoer, der normalt pre-indlejrede. Og hvad værre er, at ingen malware er brug af angriberen, kun simple kommandoer til Windows. Forskeren har også endelig påpeget, at dette kun er et scenarie, og der kan være mange mange andre scenarier, hvor brugerprofiler kan udspioneret og manipuleret eksternt og angrebet er meget svært at blive opdaget.
Ventsislav Krastev
Ventsislav er cybersikkerhedsekspert hos SensorsTechForum siden 2015. Han har forsket, tildækning, hjælpe ofre med de nyeste malware-infektioner plus test og gennemgang af software og den nyeste teknologiudvikling. Have uddannet Marketing samt, Ventsislav har også lidenskab for at lære nye skift og innovationer inden for cybersikkerhed, der bliver spiludskiftere. Efter at have studeret Management Chain Management, Netværksadministration og computeradministration af systemapplikationer, han fandt sit rigtige kald inden for cybersecurity-branchen og er en stærk troende på uddannelse af enhver bruger til online sikkerhed og sikkerhed.
Følg mig: