Il y a quelques jours une vidéo est apparue sur le web un lien vers un blog sur la façon d'utiliser une session RDP pour pirater un compte administrateur avec quelques commandes simples dans le serveur Windows qui permettent une création d'un service. Ce qui est intéressant est que le constat n'a rien de nouveau et a été en vigueur depuis 2011, mais personne n'a rien fait pour le réparer.
Comment ça marche?
Tout ce que l'attaquant doit avoir à pirater le serveur est l'accès à l'invite de commande. De là, l'attaquant peut vérifier si le compte appartient à l'administrateur en tapant la commande:
→ > whoami
Après ça, si le compte du serveur appartient à un administrateur, l'attaquant peut ce qui est le domaine lié à l'ordinateur avec la commande suivante:
→ > Wmic computersystem obtenir domaine
Si l'administrateur a un mot de passe est activée, l'attaquant utilisera la commande suivante pour obtenir le SessionName de la session en cours avec le serveur. La commande est la suivante:
→ > Utilisateur de requête
Après ça, l'attaquant est présenté une table avec l'état des sessions (Les sessions actives et déconnectées), les temps d'inactivité, les délais de connexion et les noms d'utilisateur correspondant à leur. De là, l'attaquant peut profiter de la SessionName qui ressemble généralement les suivantes - rdp-tcp # 80. Le processus de détournement lui-même se fait par la commande suivante qui est utilisée pour prendre en charge une session active:
→ > Sc créer sesshijack binpath = « cmd.exe / k tscon / dest:rdp-tcp # 80”
(le rdp-tcp est le nom de session qui est variable)
Ensuite, la commande de démarrage net est utilisée:
→ > Net start sesshijack
Et puis la nouvelle session a commencé, cette fois du compte administrateur, sans passer directement la nécessité d'entrer un mot de passe d'administration. De là, sur la nouvelle session lorsque la> commande whoami est typée, l'utilisateur doit être en mesure de voir que maintenant le compte est d'ordre administratif. De là, le mot de passe lui-même peut être modifié en tapant la commande suivante:
→ > Nopernik net user {nouveau mot de passe} /ajouter / dom
A ce stade, le mot de passe est modifié et la commande net du groupe peut être utilisé pour modifier les administrateurs de domaine.
Ce qui est intéressant est que le pirate douteux qui fait les, nommé Alexander Korznikov a également effectué d'autres fonctions de Détournement de session sur sa chaîne YouTube et expliqué dans son blog(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) que cette option est activée même pour les nouvelles versions de Windows Server. Voici les versions dans lesquelles ces sessions RDP peuvent se produire hijacking:
- Fenêtres 2008
- Fenêtres 7
- Fenêtres 2012 R2
- Fenêtres 10
- Fenêtres 2016
Quel est l'impact réel de cette vie
Dans la réalité, le chercheur explique que si quelqu'un a l'accès au serveur peut profiter de différents utilisateurs sur le serveur. Ceux-ci peuvent être des employés qui sont sur une pause déjeuner et ont verrouillé leurs ordinateurs temporairement. S'il existe un système de gestion financière, comme PoS ou d'autres systèmes de facturation, l'administrateur système peut modifier ceux-ci et de les contrôler à l'aide des commandes qui sont généralement pré-incorporés. Et ce qui est pire qu'aucun logiciel malveillant est nécessaire par l'attaquant, seules les commandes simples pour Windows. Le chercheur a également enfin souligné que ce n'est qu'un scénario et il peut y avoir beaucoup beaucoup d'autres scénarios où les profils d'utilisateurs peuvent être espionnés et manipulés à l'extérieur et l'attaque est très difficile à détecter.
Ventsislav Krastev
Ventsislav est expert en cybersécurité chez SensorsTechForum depuis 2015. Il a fait des recherches, couvrant, aider les victimes avec les dernières infections de logiciels malveillants ainsi que tester et examiner les logiciels et les derniers développements technologiques. Ayant obtenu leur diplôme et marketing, Ventsislav est également passionné par l'apprentissage de nouveaux changements et innovations en cybersécurité qui changent la donne. Après avoir étudié la gestion de la chaîne de valeur, Administration réseau et administration informatique des applications système, il a trouvé sa véritable vocation au sein de l'industrie de la cybersécurité et croit fermement à l'éducation de chaque utilisateur en matière de sécurité et de sûreté en ligne..
Plus de messages - Site Internet
Suivez-moi: