WindowsServerをハイジャックする 2012 いくつかの簡単なコマンドでのセッション

数日前、RDPセッションを使用して、サービスの作成を可能にするWindowsサーバーのいくつかの簡単なコマンドで管理者アカウントを乗っ取る方法に関するブログ投稿にリンクするビデオがWebに表示されました。. 興味深いのは、この発見は新しいものではなく、それ以来存在しているということです。 2011, しかし、誰もそれを修正するために何もしませんでした.

それはどのように機能しますか?

攻撃者がサーバーを乗っ取る必要があるのは、コマンドプロンプトにアクセスすることだけです。. そこから, 攻撃者は、コマンドを入力して、アカウントが管理者に属しているかどうかを確認できます。:

→ > whoami

この後, サーバーのアカウントが管理者に属している場合, 攻撃者は、次のコマンドを使用して、コンピューターに関連するドメインを特定できます。:

→ >wmiccomputersystemはドメインを取得します

管理ユーザーが有効なパスワードを持っている場合, 攻撃者は次のコマンドを使用して、サーバーとの現在のセッションのSESSIONNAMEを取得します. コマンドは次のとおりです:

→ >クエリユーザー

この後, 攻撃者には、セッションの状態を示すテーブルが表示されます (アクティブなセッションと切断されたセッション), アイドル時間, ログイン時間とそれに対応するユーザー名. そこから, 攻撃者は、通常次のようなSESSIONNAMEを利用できます– rdp-tcp＃80. ハイジャックプロセス自体は、アクティブなセッションを引き継ぐために使用される次のコマンドによって実行されます:

→ > sc create sesshijack binpath =“ cmd.exe / k tscon / dest:rdp-tcp＃80”

(rdp-tcpは、可変のセッション名です。)

次に、netstartコマンドが使用されます:

→ >ネットスタートsesshijack

そして、新しいセッションが始まりました, 今回は管理者アカウントから, 管理者パスワードを入力する必要性を直接バイパスする. そこから, >whoamiコマンドが入力されたときの新しいセッション, ユーザーは、アカウントが管理者になったことを確認できるはずです。. そこから, パスワード自体は、次のコマンドを入力して変更できます:

→ >ネットユーザーnopernik {新しいパスワード} //domを追加

この時点でパスワードが変更され、netgroupコマンドを使用してドメイン管理者を変更できます。.

興味深いのは、それらを実行している疑わしいハッカーです, 名前の付いたAlexanderKorznikovは、彼のYouTubeチャンネルで他のセッションハイジャック機能も実行し、彼のブログで説明しています。(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) これは、最新のWindowsServerバージョンでもアクティブです。. このRDPハイジャックセッションが発生する可能性のあるバージョンは次のとおりです:

• ウィンドウズ 2008
• ウィンドウズ 7
• ウィンドウズ 2012 R2
• ウィンドウズ 10
• ウィンドウズ 2016

これの実際の影響は何ですか

実際には, 研究者は、誰かがサーバーにアクセスできる場合、サーバー上のさまざまなユーザーを利用できると説明しています. これらは、昼休みにコンピューターを一時的にロックした従業員である可能性があります. 財務管理体制があれば, PoSや他の課金システムのように, システム管理者はそれらを変更し、通常は事前に埋め込まれているコマンドでそれらを制御できます. さらに悪いことに、攻撃者はマルウェアを必要としません。, Windows用の単純なコマンドのみ. 研究者はまた、これは1つのシナリオにすぎず、ユーザープロファイルを外部からスパイして操作でき、攻撃を検出するのが非常に難しい他の多くのシナリオが存在する可能性があることも指摘しました。.