Pochi giorni fa, un video apparso sul web che collega a un post sul blog su come utilizzare una sessione RDP di dirottare un account amministratore con pochi e semplici comandi di server Windows che permettono una creazione di un servizio. Ciò che è interessante è che la scoperta non è una novità ed è stato esiste dal 2011, ma nessuno ha fatto nulla per risolvere il problema.
Come funziona?
Tutto ciò che l'attaccante deve avere per dirottare il server è l'accesso al prompt dei comandi. Da lì, l'attaccante può verificare se l'account appartiene all'amministratore digitando il comando:
→ > whoami
Dopodichè, Se l'account del server appartiene a un amministratore, l'attaccante può ciò che è il dominio relativi al computer con il seguente comando:
→ > Wmic computersystem ottenere dominio
Se l'utente di gestione dispone di una password abilitata, l'attaccante utilizzerà il seguente comando per ottenere il NOMESESSIONE della sessione corrente con il server. L'inserimento è:
→ > Query user
Dopodichè, l'attaccante si presenta una tabella con lo stato delle sessioni (le sessioni attive e disconnesse), tempi morti, i tempi di accesso e i nomi degli utenti corrispondenti a loro. Da lì, l'attaccante può sfruttare la NOMESESSIONE che di solito appare come il seguente - rdp-tcp # 80. Il processo dirottamento si è fatto dal comando seguente che viene utilizzato per assumere una sessione attiva:
→ > Sc creare sesshijack binpath = “cmd.exe / k tscon / dest:RDP-tcp # 80”
(RDP-tcp è il nome della sessione che è variabile)
Poi viene utilizzato il comando net start:
→ > Sesshijack Net start
E poi la nuova sessione è iniziata, questa volta dal account amministratore, bypassando direttamente la necessità di inserire la password di amministrazione. Da lì, sulla nuova sessione quando il comando> whoami viene digitato, l'utente dovrebbe essere in grado di testimoniare che oggi l'account è amministrativo. Da lì, la password stessa può essere modificata digitando il seguente comando:
→ > Nopernik net user {nuova password} /aggiungere / dom
A questo punto la password viene modificata e il comando net gruppo può essere utilizzato per modificare gli amministratori di dominio.
Ciò che è interessante è che l'hacker discutibile che sta facendo quelli, di nome Alexander Korznikov è esibito anche altre caratteristiche dirottamento di sessione sul suo canale YouTube e ha spiegato nel suo blog(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) che questo è attivo anche per le versioni più recenti di Windows Server. Qui ci sono le versioni in cui si possono verificare questo sessioni RDP dirottamento:
- Windows 2008
- Windows 7
- Windows 2012 R2
- Windows 10
- Windows 2016
Qual è il vero-Life impatto di questa
Nella realtà, il ricercatore spiega che se qualcuno ha l'accesso al server può usufruire di vari utenti sul server. Questi possono essere i dipendenti che sono su una pausa pranzo e hanno bloccato temporaneamente i loro computer. Se v'è un sistema per la gestione finanziaria, come POS o altri sistemi di fatturazione, l'amministratore di sistema può modificare quelli e controllarli con comandi che sono normalmente pre-incorporati. E quel che è peggio che nessun malware è necessario per l'attaccante, solo semplici comandi per Windows. Il ricercatore ha inoltre infine sottolineato che questo è solo uno scenario e ci possono essere molti molti altri scenari dove profili utente possono essere spiati e manipolati esternamente e l'attacco è molto difficile da rilevare.
Ventsislav Krastev
Da allora Ventsislav è un esperto di sicurezza informatica di SensorsTechForum 2015. Ha fatto ricerche, copertura, aiutare le vittime con le ultime infezioni da malware oltre a testare e rivedere il software e gli ultimi sviluppi tecnologici. Avendo Marketing laureato pure, Ventsislav ha anche la passione per l'apprendimento di nuovi turni e innovazioni nella sicurezza informatica che diventano un punto di svolta. Dopo aver studiato la gestione della catena del valore, Amministrazione di rete e amministrazione di computer delle applicazioni di sistema, ha trovato la sua vera vocazione nel settore della cibersicurezza ed è un convinto sostenitore dell'educazione di ogni utente verso la sicurezza online.
Seguimi: