Casa > Guide utili > Hijack Windows Server 2012 Sessione con pochi comandi semplici
MINACCIA RIMOZIONE

Hijack Windows Server 2012 Sessione con pochi comandi semplici

Pochi giorni fa, un video apparso sul web che collega a un post sul blog su come utilizzare una sessione RDP di dirottare un account amministratore con pochi e semplici comandi di server Windows che permettono una creazione di un servizio. Ciò che è interessante è che la scoperta non è una novità ed è stato esiste dal 2011, ma nessuno ha fatto nulla per risolvere il problema.

Come funziona?

Tutto ciò che l'attaccante deve avere per dirottare il server è l'accesso al prompt dei comandi. Da lì, l'attaccante può verificare se l'account appartiene all'amministratore digitando il comando:

→ > whoami

Dopodichè, Se l'account del server appartiene a un amministratore, l'attaccante può ciò che è il dominio relativi al computer con il seguente comando:

→ > Wmic computersystem ottenere dominio

Se l'utente di gestione dispone di una password abilitata, l'attaccante utilizzerà il seguente comando per ottenere il NOMESESSIONE della sessione corrente con il server. L'inserimento è:

→ > Query user

Dopodichè, l'attaccante si presenta una tabella con lo stato delle sessioni (le sessioni attive e disconnesse), tempi morti, i tempi di accesso e i nomi degli utenti corrispondenti a loro. Da lì, l'attaccante può sfruttare la NOMESESSIONE che di solito appare come il seguente - rdp-tcp # 80. Il processo dirottamento si è fatto dal comando seguente che viene utilizzato per assumere una sessione attiva:

→ > Sc creare sesshijack binpath = “cmd.exe / k tscon / dest:RDP-tcp # 80”

(RDP-tcp è il nome della sessione che è variabile)

Poi viene utilizzato il comando net start:

→ > Sesshijack Net start

E poi la nuova sessione è iniziata, questa volta dal account amministratore, bypassando direttamente la necessità di inserire la password di amministrazione. Da lì, sulla nuova sessione quando il comando> whoami viene digitato, l'utente dovrebbe essere in grado di testimoniare che oggi l'account è amministrativo. Da lì, la password stessa può essere modificata digitando il seguente comando:

→ > Nopernik net user {nuova password} /aggiungere / dom

A questo punto la password viene modificata e il comando net gruppo può essere utilizzato per modificare gli amministratori di dominio.

Ciò che è interessante è che l'hacker discutibile che sta facendo quelli, di nome Alexander Korznikov è esibito anche altre caratteristiche dirottamento di sessione sul suo canale YouTube e ha spiegato nel suo blog(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) che questo è attivo anche per le versioni più recenti di Windows Server. Qui ci sono le versioni in cui si possono verificare questo sessioni RDP dirottamento:

  • Windows 2008
  • Windows 7
  • Windows 2012 R2
  • Windows 10
  • Windows 2016

Qual è il vero-Life impatto di questa

Nella realtà, il ricercatore spiega che se qualcuno ha l'accesso al server può usufruire di vari utenti sul server. Questi possono essere i dipendenti che sono su una pausa pranzo e hanno bloccato temporaneamente i loro computer. Se v'è un sistema per la gestione finanziaria, come POS o altri sistemi di fatturazione, l'amministratore di sistema può modificare quelli e controllarli con comandi che sono normalmente pre-incorporati. E quel che è peggio che nessun malware è necessario per l'attaccante, solo semplici comandi per Windows. Il ricercatore ha inoltre infine sottolineato che questo è solo uno scenario e ci possono essere molti molti altri scenari dove profili utente possono essere spiati e manipolati esternamente e l'attacco è molto difficile da rilevare.

Avatar

Ventsislav Krastev

Da allora Ventsislav è un esperto di sicurezza informatica di SensorsTechForum 2015. Ha fatto ricerche, copertura, aiutare le vittime con le ultime infezioni da malware oltre a testare e rivedere il software e gli ultimi sviluppi tecnologici. Avendo Marketing laureato pure, Ventsislav ha anche la passione per l'apprendimento di nuovi turni e innovazioni nella sicurezza informatica che diventano un punto di svolta. Dopo aver studiato la gestione della catena del valore, Amministrazione di rete e amministrazione di computer delle applicazioni di sistema, ha trovato la sua vera vocazione nel settore della cibersicurezza ed è un convinto sostenitore dell'educazione di ogni utente verso la sicurezza online.

Altri messaggi - Sito web

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...