Casa > Como guias > Hijack Windows Server 2012 Sessão Com alguns comandos simples
REMOÇÃO DE AMEAÇAS

Hijack Windows Server 2012 Sessão Com alguns comandos simples

Há poucos dias um vídeo apareceu na web com links para um blog sobre como usar uma sessão RDP para seqüestrar uma conta de administrador com alguns comandos simples em servidor Windows que permitem a criação de um serviço. O que é interessante é que a descoberta é nada de novo e tem existido desde 2011, mas ninguém fez nada para corrigi-lo.

Como funciona?

Tudo o que o invasor deve ter para seqüestrar o servidor é o acesso ao prompt de comando. De lá, o atacante pode verificar se a conta pertence ao administrador, digitando o comando:

→ > whoami

Depois disto, Se a conta do servidor pertence a um administrador, a lata atacante que é o domínio relacionado com o computador com o seguinte comando:

→ > Domínio get computersystem wmic

Se o usuário administrativo tem uma senha ativada, o atacante vai usar o seguinte comando para obter o SESSIONNAME da sessão atual com o servidor. O comando é a seguinte:

→ > User consulta

Depois disto, o atacante é apresentada uma tabela com o estado das sessões (sessões ativas e desconectadas), tempo ocioso, sessão vezes e os nomes de usuário correspondentes a eles. De lá, o atacante pode aproveitar a SESSIONNAME que normalmente se parece com o seguinte: - RDP-tcp # 80. O processo de sequestro em si é feito através do seguinte comando que é usado para levar mais de uma sessão ativa:

→ > Sc criar sesshijack binpath = “cmd.exe / k tscon / dest:RDP-tcp # 80”

(o RDP-TCP é o nome da sessão que é variável)

Em seguida, o comando net start é usado:

→ > Sesshijack início Net

E, em seguida, a nova sessão já começou, desta vez a partir da conta de administrador, diretamente ignorando a necessidade de digitar a senha administrativa. De lá, na nova sessão quando o> comando whoami é digitado, o usuário deve ser capaz de testemunho de que agora a conta é administrativa. De lá, a senha em si pode ser alterado, digitando o seguinte comando:

→ > Nopernik net user {Nova senha} /adicionar / dom

Neste ponto, a senha é alterada e o comando net grupo pode ser usado para modificar os administradores de domínio.

O que é interessante é que o hacker questionável que está fazendo os, chamado Alexander Korznikov também se apresentou outras características de seqüestro de sessão em seu canal no YouTube e explicou em seu blog(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) que este é ativo, mesmo para as versões mais recentes do Windows Server. Aqui estão as versões em que este sessões seqüestro RDP pode ocorrer:

  • janelas 2008
  • janelas 7
  • janelas 2012 R2
  • janelas 10
  • janelas 2016

Qual é o impacto real-vida deste

Na realidade, O pesquisador explica que se alguém tem o acesso ao servidor pode tirar proveito de vários usuários no servidor. Estes podem ser os funcionários que estão em uma pausa para o almoço e têm bloqueado seus computadores temporariamente. Se houver um sistema de gestão financeira, como POS ou outros sistemas de faturamento, o administrador do sistema pode modificar os e controlá-los com comandos que são geralmente pré-embebidos. E o que é pior que nenhum malware é necessária pelo atacante, apenas comandos simples para Windows. O pesquisador também finalmente apontam para que este é apenas um cenário e pode haver muitos outros cenários onde os perfis de usuário pode ser espionado e manipuladas externamente eo ataque é muito difícil de ser detectado.

Avatar

Ventsislav Krastev

Ventsislav é especialista em segurança cibernética na SensorsTechForum desde 2015. Ele tem pesquisado, cobertura, ajudando vítimas com as mais recentes infecções por malware, além de testar e revisar software e os mais recentes desenvolvimentos tecnológicos. Formado marketing bem, Ventsislav também é apaixonado por aprender novas mudanças e inovações em segurança cibernética que se tornam revolucionárias. Depois de estudar o gerenciamento da cadeia de valor, Administração de rede e administração de computadores de aplicativos do sistema, ele encontrou sua verdadeira vocação no setor de segurança cibernética e acredita firmemente na educação de todos os usuários quanto à segurança e proteção on-line.

mais Posts - Local na rede Internet

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...