Vor wenigen Tagen ein Video erschien auf dem Netz zu einer Blog-Post verbindet, wie eine RDP-Session verwenden, um ein Administratorkonto mit wenigen einfachen Befehlen in Windows-Server kapern, die einer Schaffung eines Service ermöglichen. Interessant ist, dass die Feststellung ist nichts Neues und existiert seit 2011, aber niemand tat nichts, um es zu beheben.
Wie funktioniert es?
Alles, was der Angreifer den Server kapern muss müssen, ist der Zugriff auf die Eingabeaufforderung. Von dort, der Angreifer kann überprüfen, ob das Konto den Administrator gehört, indem Sie den Befehl eingeben:
→ > whoami
Danach, wenn das Konto des Servers gehört zu einem Administrator, kann der Angreifer, was ist die Domäne auf den Computer mit dem folgenden Befehl verwendet:
→ > Wmic Computersystem erhalten Domain
Wenn der Benutzer mit Administratorrechten hat eine aktivierte Passwort, der Angreifer den folgenden Befehl verwenden, um die SITZUNGS der aktuellen Sitzung mit dem Server zu erhalten. Der Befehl ist wie folgt::
→ > Query user
Danach, Der Angreifer wird eine Tabelle mit dem Status der Sitzungen vorgestellt (Aktive und Getrennte Sitzungen), Leerlaufzeiten, Login-Zeiten und die Benutzernamen, die ihnen entsprechen. Von dort, der Angreifer können die Vorteile der SITZUNGS nehmen, die wie folgt aussieht in der Regel - rdp-tcp # 80. Der Hijacking Prozess selbst durch den folgenden Befehl durchgeführt wird, die verwendet wird, um eine aktive Sitzung zu übernehmen:
→ > Sc erstellen sesshijack binpath = „cmd.exe / k tscon / dest:rdp-tcp # 80”
(der RDP-TCP ist die Sitzungsnamen, die variabel ist)
Dann wird der Befehl net start verwendet wird:
→ > Net start sesshijack
Und dann hat die neue Sitzung gestartet, diesmal aus dem Administrator-Konto, direkt unter Umgehung der Notwendigkeit Administrator-Passwort eingeben. Von dort, auf die neue Sitzung, wenn der> whoami Befehl eingegeben, der Benutzer sollte nun Zeuge der Lage sein, dass das Konto Verwaltungs-. Von dort, das Passwort selbst kann durch Eingabe des folgenden Befehls geändert werden:
→ > Net user nopernik {Neues Kennwort} /add / dom
An diesem Punkt wird das Passwort geändert und der net group-Befehl kann verwendet werden, um die Domain-Administratoren zu ändern.
Interessant ist, dass der fragwürdige Hacker, die tun, namens Alexander Korznikov durchgeführt hat auch andere Session Hijacking Features auf seinem YouTube-Kanal und erklärt in seinem Blog(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) dass dies selbst für die neuesten Windows-Server-Versionen aktiv. Hier sind die Versionen, in denen diese RDP-Hijacking Sitzungen auftreten können:
- Fenster 2008
- Fenster 7
- Fenster 2012 R2
- Fenster 10
- Fenster 2016
Was sind die Real-Life Auswirkungen dieses
In Wirklichkeit, Der Forscher erklärt, dass, wenn jemand den Zugriff auf den Server hat die Vorteile der verschiedenen Benutzer auf dem Server nehmen. Diese können Mitarbeiter sein, die auf eine Mittagspause und haben ihre Computer vorübergehend gesperrt. Wenn es ein System für die Finanzverwaltung, wie PoS oder andere Abrechnungssysteme, die Sysadmin können diese und steuern sie mit Befehlen ändern, die in der Regel im Voraus eingebettet sind. Und was noch schlimmer ist, dass keine Malware durch den Angreifer benötigt wird, nur einfache Befehle für Windows. Der Forscher hat auch endlich darauf hingewiesen, dass dies nur ein Szenario, und es kann viele, viele andere Szenarien, in denen Benutzerprofile auf und extern manipuliert werden ausspioniert und der Angriff ist sehr schwierig zu erfassende.