Enkele dagen geleden een video verscheen op het web te koppelen aan een blogpost over hoe je een RDP-sessie gebruiken om een beheerdersaccount te kapen met een paar simpele commando's in Windows-server die een creatie van een dienst mogelijk te maken. Wat interessant is, is dat de vaststelling is niet nieuw en bestaat al sinds 2011, maar niemand deed niets om het te repareren.
Hoe werkt het?
Alles wat de aanvaller moet hebben om de server te kapen is de toegang tot de opdrachtprompt. Vanaf daar, de aanvaller kan controleren of de rekening behoort tot de beheerder door het intikken van het commando:
→ > whoami
Hierna, indien de rekening van de server behoort tot een administrator, de aanvaller kan wat is het domein met betrekking tot de computer met het volgende commando:
→ > Wmic computersysteem krijgen domein
Als de gebruiker met beheerdersrechten heeft een ingeschakelde wachtwoord, de aanvaller zal de volgende opdracht gebruiken om de SessionName van de huidige sessie te krijgen met de server. De opdracht is als volgt:
→ > Vraag gebruiker
Hierna, de aanvaller wordt gepresenteerd een tabel met de staat van de sessies (Actieve en verbroken sessies), neventijden, login tijden en de gebruikersnamen die overeenkomt met hen. Vanaf daar, de aanvaller kan profiteren van de SessionName die meestal ziet er als volgt - rdp-tcp # 80. De kaping proces zelf wordt gedaan door het volgende commando dat gebruikt wordt een actieve sessie over te nemen:
→ > Sc creëren sesshijack binpath = “cmd.exe / k tscon / dest:rdp-tcp # 80”
(de rdp-tcp is de naam sessie die variabel)
Dan is de net start commando wordt gebruikt:
→ > Net start sesshijack
En dan de nieuwe sessie is gestart, dit keer van de administrator account, direct het omzeilen van de noodzaak om de administratieve wachtwoord in te voeren. Vanaf daar, op de nieuwe sessie, wanneer de> whoami opdracht is getypt, de gebruiker moet in staat zijn om te getuigen dat nu de rekening is administratief. Vanaf daar, het wachtwoord zelf kan worden gewijzigd door het volgende commando:
→ > Net user nopernik {nieuw paswoord} /add / dom
Op dit punt wordt het wachtwoord gewijzigd en de opdracht net groep kan worden gebruikt om de domeinbeheerders wijzigen.
Wat interessant is, is dat de twijfelachtige hacker die deze doet, genaamd Alexander Korznikov trad ook andere sessie hijacking functies op zijn YouTube-kanaal en legde in zijn blog(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) dat dit actief is voor zelfs de nieuwste Windows Server-versies. Hier zijn de versies waarin deze RDP kaping sessies kunnen optreden:
- Windows 2008
- Windows 7
- Windows 2012 R2
- Windows 10
- Windows 2016
Wat is de real-life impact van deze
In het echt, De onderzoeker legt uit dat als iemand de toegang tot de server kunnen profiteren van verschillende gebruikers te nemen op de server. Dit kunnen werknemers die op een lunchpauze en hebben hun computers tijdelijk gesloten. Als er een systeem voor het financieel beheer, zoals PoS of andere billing systemen, de sysadmin kunnen deze wijzigen en controleren ze met commando's die zijn meestal pre-ingebed. En wat nog erger is dat er geen malware is nodig door de aanvaller, alleen eenvoudige commando's voor Windows. De onderzoeker heeft uiteindelijk ook op gewezen dat dit slechts één scenario en er kunnen vele andere scenario's waar gebruikersprofielen kunnen worden bespioneerd als extern gemanipuleerd en de aanval is zeer moeilijk te detecteren.
Ventsislav Krastev
Ventsislav is sindsdien een cybersecurity-expert bij SensorsTechForum 2015. Hij heeft onderzoek gedaan, aan het bedekken, slachtoffers helpen met de nieuwste malware-infecties plus het testen en beoordelen van software en de nieuwste technische ontwikkelingen. Na afgestudeerd Marketing, alsmede, Ventsislav heeft ook een passie voor het leren van nieuwe verschuivingen en innovaties in cybersecurity die gamechangers worden. Na het bestuderen van Value Chain Management, Netwerkbeheer en computerbeheer van systeemtoepassingen, hij vond zijn ware roeping binnen de cyberbeveiligingsindustrie en gelooft sterk in het opleiden van elke gebruiker in de richting van online veiligheid en beveiliging.
Volg mij: