Há poucos dias um vídeo apareceu na web com links para um blog sobre como usar uma sessão RDP para seqüestrar uma conta de administrador com alguns comandos simples em servidor Windows que permitem a criação de um serviço. O que é interessante é que a descoberta é nada de novo e tem existido desde 2011, mas ninguém fez nada para corrigi-lo.
Como funciona?
Tudo o que o invasor deve ter para seqüestrar o servidor é o acesso ao prompt de comando. De lá, o atacante pode verificar se a conta pertence ao administrador, digitando o comando:
→ > whoami
Depois disto, Se a conta do servidor pertence a um administrador, a lata atacante que é o domínio relacionado com o computador com o seguinte comando:
→ > Domínio get computersystem wmic
Se o usuário administrativo tem uma senha ativada, o atacante vai usar o seguinte comando para obter o SESSIONNAME da sessão atual com o servidor. O comando é a seguinte:
→ > User consulta
Depois disto, o atacante é apresentada uma tabela com o estado das sessões (sessões ativas e desconectadas), tempo ocioso, sessão vezes e os nomes de usuário correspondentes a eles. De lá, o atacante pode aproveitar a SESSIONNAME que normalmente se parece com o seguinte: - RDP-tcp # 80. O processo de sequestro em si é feito através do seguinte comando que é usado para levar mais de uma sessão ativa:
→ > Sc criar sesshijack binpath = “cmd.exe / k tscon / dest:RDP-tcp # 80”
(o RDP-TCP é o nome da sessão que é variável)
Em seguida, o comando net start é usado:
→ > Sesshijack início Net
E, em seguida, a nova sessão já começou, desta vez a partir da conta de administrador, diretamente ignorando a necessidade de digitar a senha administrativa. De lá, na nova sessão quando o> comando whoami é digitado, o usuário deve ser capaz de testemunho de que agora a conta é administrativa. De lá, a senha em si pode ser alterado, digitando o seguinte comando:
→ > Nopernik net user {Nova senha} /adicionar / dom
Neste ponto, a senha é alterada e o comando net grupo pode ser usado para modificar os administradores de domínio.
O que é interessante é que o hacker questionável que está fazendo os, chamado Alexander Korznikov também se apresentou outras características de seqüestro de sessão em seu canal no YouTube e explicou em seu blog(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) que este é ativo, mesmo para as versões mais recentes do Windows Server. Aqui estão as versões em que este sessões seqüestro RDP pode ocorrer:
- janelas 2008
- janelas 7
- janelas 2012 R2
- janelas 10
- janelas 2016
Qual é o impacto real-vida deste
Na realidade, O pesquisador explica que se alguém tem o acesso ao servidor pode tirar proveito de vários usuários no servidor. Estes podem ser os funcionários que estão em uma pausa para o almoço e têm bloqueado seus computadores temporariamente. Se houver um sistema de gestão financeira, como POS ou outros sistemas de faturamento, o administrador do sistema pode modificar os e controlá-los com comandos que são geralmente pré-embebidos. E o que é pior que nenhum malware é necessária pelo atacante, apenas comandos simples para Windows. O pesquisador também finalmente apontam para que este é apenas um cenário e pode haver muitos outros cenários onde os perfis de usuário pode ser espionado e manipuladas externamente eo ataque é muito difícil de ser detectado.
Ventsislav Krastev
Ventsislav é especialista em segurança cibernética na SensorsTechForum desde 2015. Ele tem pesquisado, cobertura, ajudando vítimas com as mais recentes infecções por malware, além de testar e revisar software e os mais recentes desenvolvimentos tecnológicos. Formado marketing bem, Ventsislav também é apaixonado por aprender novas mudanças e inovações em segurança cibernética que se tornam revolucionárias. Depois de estudar o gerenciamento da cadeia de valor, Administração de rede e administração de computadores de aplicativos do sistema, ele encontrou sua verdadeira vocação no setor de segurança cibernética e acredita firmemente na educação de todos os usuários quanto à segurança e proteção on-line.
mais Posts - Local na rede Internet
Me siga: