Casa > Guide utili > Dirottare Windows Server 2012 Sessione con pochi comandi semplici
COME

Hijack Windows Server 2012 Sessione con pochi comandi semplici

Pochi giorni fa, un video apparso sul web che collega a un post sul blog su come utilizzare una sessione RDP di dirottare un account amministratore con pochi e semplici comandi di server Windows che permettono una creazione di un servizio. Ciò che è interessante è che la scoperta non è una novità ed è stato esiste dal 2011, ma nessuno ha fatto nulla per risolvere il problema.

Come funziona?

Tutto ciò che l'attaccante deve avere per dirottare il server è l'accesso al prompt dei comandi. Da lì, l'attaccante può verificare se l'account appartiene all'amministratore digitando il comando:

→ > whoami

Dopodichè, Se l'account del server appartiene a un amministratore, l'attaccante può ciò che è il dominio relativi al computer con il seguente comando:

→ > Wmic computersystem ottenere dominio

Se l'utente di gestione dispone di una password abilitata, l'attaccante utilizzerà il seguente comando per ottenere il NOMESESSIONE della sessione corrente con il server. L'inserimento è:

→ > Query user

Dopodichè, l'attaccante si presenta una tabella con lo stato delle sessioni (le sessioni attive e disconnesse), tempi morti, i tempi di accesso e i nomi degli utenti corrispondenti a loro. Da lì, l'attaccante può sfruttare la NOMESESSIONE che di solito appare come il seguente - rdp-tcp # 80. Il processo dirottamento si è fatto dal comando seguente che viene utilizzato per assumere una sessione attiva:

→ > Sc creare sesshijack binpath = “cmd.exe / k tscon / dest:RDP-tcp # 80”

(RDP-tcp è il nome della sessione che è variabile)

Poi viene utilizzato il comando net start:

→ > Sesshijack Net start

E poi la nuova sessione è iniziata, questa volta dal account amministratore, bypassando direttamente la necessità di inserire la password di amministrazione. Da lì, sulla nuova sessione quando il comando> whoami viene digitato, l'utente dovrebbe essere in grado di testimoniare che oggi l'account è amministrativo. Da lì, la password stessa può essere modificata digitando il seguente comando:

→ > Nopernik net user {nuova password} /aggiungere / dom

A questo punto la password viene modificata e il comando net gruppo può essere utilizzato per modificare gli amministratori di dominio.

Ciò che è interessante è che l'hacker discutibile che sta facendo quelli, di nome Alexander Korznikov è esibito anche altre caratteristiche dirottamento di sessione sul suo canale YouTube e ha spiegato nel suo blog(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) che questo è attivo anche per le versioni più recenti di Windows Server. Qui ci sono le versioni in cui si possono verificare questo sessioni RDP dirottamento:

  • Windows 2008
  • Windows 7
  • Windows 2012 R2
  • Windows 10
  • Windows 2016

Qual è il vero-Life impatto di questa

Nella realtà, il ricercatore spiega che se qualcuno ha l'accesso al server può usufruire di vari utenti sul server. Questi possono essere i dipendenti che sono su una pausa pranzo e hanno bloccato temporaneamente i loro computer. Se v'è un sistema per la gestione finanziaria, come POS o altri sistemi di fatturazione, l'amministratore di sistema può modificare quelli e controllarli con comandi che sono normalmente pre-incorporati. E quel che è peggio che nessun malware è necessario per l'attaccante, solo semplici comandi per Windows. Il ricercatore ha inoltre infine sottolineato che questo è solo uno scenario e ci possono essere molti molti altri scenari dove profili utente possono essere spiati e manipolati esternamente e l'attacco è molto difficile da rilevare.

Ventsislav Krastev

Da allora Ventsislav è un esperto di sicurezza informatica di SensorsTechForum 2015. Ha fatto ricerche, copertura, aiutare le vittime con le ultime infezioni da malware oltre a testare e rivedere il software e gli ultimi sviluppi tecnologici. Avendo Marketing laureato pure, Ventsislav ha anche la passione per l'apprendimento di nuovi turni e innovazioni nella sicurezza informatica che diventano un punto di svolta. Dopo aver studiato la gestione della catena del valore, Amministrazione di rete e amministrazione di computer delle applicazioni di sistema, ha trovato la sua vera vocazione nel settore della cibersicurezza ed è un convinto sostenitore dell'educazione di ogni utente verso la sicurezza online.

Altri messaggi - Sito web

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo