Nagła zmiana. Nasilone problemy bezpieczeństwa zdalnych połączeń
Firmy, które nie miały systemów dostępu zdalnego, musiały na szybko je wdrożyć, kiedy wybuchła globalna pandemia koronawirusa. Wiele zespołów IT było nieprzygotowanych na tak nagłą i hurtową zmianę i przygotowanie całej infrastruktury, często w zakresie kompletnym, na pracę zdalną. W rezultacie powszechnym skutkiem ubocznym stały się luki w zabezpieczeniach, wynikające z błędnych konfiguracji, oparciu na niezabezpieczonych protokołach zdalnego dostępu oraz instalacji podatnego na ataki, przestarzałego oprogramowania i technologii informatycznych.
Niektóre organizacje już poniosły konsekwencje tych błędów. Niektórym, póki co, udało się wyjść w większości bez szwanku. Tak czy inaczej, najwyższy czas, aby wszyscy wyciągnęli właściwe wnioski.
Począwszy od ogłoszenia pandemii gwałtownie wzrosła liczba firm które zmodyfikowały swoje modele biznesowe uwzględniając szeroki zakres wykorzystania pracy zdalnej. Firmy coraz częściej traktują pracę z domu i pracę zdalną jako dozwolony format, który zamierzają zachować na dłuższą metę, a nawet na stałe.
Niektóre z najczęściej używanych metod zdalnego dostępu to VPN, RDS i VNC. Każde z tych rozwiązań ma swoje właściwe zastosowania, ale może również stanowić poważne zagrożenie dla bezpieczeństwa, jeśli ich wykorzystanie zostanie rozciągnięte poza ich wąskie zakresy użycia. Chociaż administratorzy mają do wyboru mnóstwo narzędzi, muszą dokonywać właściwych wyborów w oparciu o architekturę przedsiębiorstwa oraz konkretne, wymagające obsługi IT, przypadki wykorzystania zdalnego dostępu.
Skupmy się więc na zabezpieczeniach protokołu / usług pulpitu zdalnego (RDP / RDS), które są częściej używane w środowiskach MB ze względu na łatwość wdrożenia. Przeczytaj przegląd znanych RDS / RDP, luk w zabezpieczeniach, zapoznaj się z kilkoma scenariuszami ataków na infrastrukturę sieciową opartą na usłudze Active Directory i poznaj kluczowe strategie łagodzenia skutków. Mamy nadzieję, że te informacje pomogą niektórym z was uniknąć typowych wpadek i wzmocnią bezpieczeństwo przedsiębiorstwa.
Najnowsze luki w zabezpieczeniach RDS / RDP
Cyberprzestępcy, zwłaszcza twórcy oprogramowania ransomware, są bardzo czujni, jeśli chodzi o luki w zabezpieczeniach dostępu zdalnego i opierają na nich swoje strategie ataku. Luki typu zero-day są na ogół najbardziej rozpowszechnionymi lukami w zabezpieczeniach. Chociaż RDS jest szeroko stosowany, ma kilka szczególnie niebezpiecznych opublikowanych luk. Oto krótkie podsumowanie niektórych luk w zabezpieczeniach RDS, które w ubiegłym roku rozpoznał Microsoft:
Ta luka może być źródłem problemów dla użytkowników łączących się z zaatakowanym serwerem. Osoba atakująca może przejąć kontrolę nad urządzeniem użytkownika lub uzyskać przyczółek w systemie, i tym samym utrzymać stały dostęp zdalny.
CVE-2019-1181 / CVE-2020-0609 / CVE-2019-1182
Te luki umożliwiają nieuwierzytelnionemu przeciwnikowi zdalne wykonanie kodu na serwerze z RDS. Wystarczy specjalnie spreparowana prośba. Te wady mogą być również wykorzystywane do tworzenia robaków komputerowych – złośliwego kodu, który autonomicznie replikuje się na inne urządzenia w tej samej sieci. Mówiąc prościej, te luki mogą zagrozić całej sieci firmowej. Jedynym ratunkiem jest stosowanie aktualizacji oprogramowania wraz z łatkami, od razu gdy są one dostępne.
Oprogramowanie do zdalnego dostępu zyskało dużą popularność zarówno wśród badaczy śledzących słabe punkty systemów informatycznych, jak i cyberprzestępców, poszukujących strategii swoich ataków. W efekcie możemy dowiadywać się o odkrywaniu nowych luk tej kategorii. Dobrą wiadomością jest to, że nie za wszystkimi lukami idą publiczne exploity. Natomiast zła wiadomość jest taka, że doświadczeni cyberprzestępcy mogą mieć wystarczającą wiedzę, aby opracować exploita na podstawie opisu luki lub metod takich jak Patch Diffing. Mając to na uwadze, zalecaną strategią w firmach jest regularne aktualizowanie oprogramowania, śledzenie na bieżąco nowych raportów o lukach w zabezpieczeniach, egzekwowanie zasady najniższych przywilejów – na ile tylko jest to możliwe – w celu zapobiegania lub przynajmniej łagodzenia zagrożeń stwarzanych przez wrażliwe oprogramowanie oraz stosowania zaawansowanych środków kontroli aplikacji, które zapewniają ochronę przed atakami bezplikowymi.
Wektory ataku na pulpit zdalny
Przejdźmy do typowej logiki ataków skupiających się na infrastrukturze sieciowej opartej na usłudze Active Directory. Poniższe techniki mają zastosowanie do następującego profilu intruza: jest to przeciwnik, który ma ważne konto użytkownika połączone z dostępem do bramy usług pulpitu zdalnego, czyli serwera terminali. Na marginesie, ta ostatnia może być dostępna z sieci zewnętrznej. Wykorzystując te metody, oszust może rozszerzyć zakres ataku i zachować ciągłość dostępu. Chociaż konfiguracja sieci może się różnić w każdym konkretnym scenariuszu, poniższe techniki są dość uniwersalne.
Podczas próby uzyskania dostępu do bramy usług pulpitu zdalnego przeciwnik najprawdopodobniej napotka pewnego rodzaju ograniczone środowisko. Aplikacja jest uruchamiana na serwerze terminali w ramach nawiązywania połączenia. Może to być okno połączenia protokołu pulpitu zdalnego dla zasobów lokalnych, Eksplorator plików (wcześniej znany jako Eksplorator Windows), pakiety biurowe lub dowolne inne oprogramowanie.
Celem atakującego jest uzyskanie dostępu do procedury wykonywania poleceń, aby mógł uruchomić skrypty CMD lub PowerShell. W tym względzie może pomóc kilka klasycznych technik ucieczki z Sandbox systemu Windows. Rozważmy te możliwe rozwiązania.
Przykład 1. Atakujący ma dostęp do interfejsu połączenia pulpitu zdalnego w bramie usług pulpitu zdalnego.
Pierwszym krokiem jest otwarcie menu „Pokaż opcje”. Zawiera opcje zarządzania plikami konfiguracji połączeń. Z tego ekranu można łatwo uzyskać dostęp do Eksploratora plików – wystarczy kliknąć przycisk „Otwórz” lub „Zapisz”.
Po otwarciu Eksploratora plików jego pasek adresu umożliwia uruchamianie dozwolonych plików wykonywalnych, a także może wyświetlać hierarchię systemu plików. Może to być przydatne dla atakującego w przypadku, gdy dyski systemowe są ukryte i dlatego nie można uzyskać do nich bezpośredniego dostępu.
Taki scenariusz można odtworzyć ponownie, gdy składnik programu Excel pakietu Microsoft Office jest używany jako aplikacja zdalna. Ponadto komponenty pakietu Office są notorycznie słabym ogniwem, które również może zostać niewłaściwie wykorzystane w celu ataku.
Przykład 2. Mając identyczny zakres dostępu jak w poprzednim scenariuszu, osoba atakująca otwiera kilka połączeń Pulpitu zdalnego w ramach tego samego konta. Druga próba połączenia spowoduje zamknięcie pierwszego połączenia, a na ekranie pojawi się komunikat o błędzie. Kliknięcie przycisku „Pomoc” w tym powiadomieniu spowoduje wyświetlenie na serwerze przeglądarki Internet Explorer, która umożliwi przestępcy dostęp do Eksploratora plików.
Przykład 3. Jeśli możliwość uruchamiania plików wykonywalnych jest ograniczona, osoba atakująca może napotkać sytuację, w której zasady grupy zabraniają uruchamiania programu cmd.exe. Istnieje sposób na obejście tego problemu, uruchamiając plik BAT z pulpitu zdalnego zawierający ciąg, taki jak cmd.exe / K <nazwa polecenia>.
Przykład 4. Używanie wykonywalnych list bloków do blokowania określonych aplikacji nie jest ostatecznie skuteczne i można je ominąć.
Spójrzmy na następującą sytuację: zablokowałeś dostęp do narzędzia wiersza poleceń i skonfigurowałeś zasady grupy, aby zabronić wykonywania Internet Explorera i PowerShell. Atakujący próbuje uruchomić PowerShell za pomocą menu kontekstowego okna modalnego otwartego z wciśniętym klawiszem Shift – bez powodzenia. Następnie osoba atakująca próbuje wykonać PowerShell za pomocą paska adresu i ponownie kończy się to niepowodzeniem. Jak więc atakujący omija ograniczenie?
Wystarczy skopiować program PowerShell.exe z folderu C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 do katalogu użytkownika, zmienić jego nazwę na inną niż PowerShell.exe i voila – można go uruchomić.
Domyślne ustawienie połączenia pulpitu zdalnego umożliwia dostęp do dysków lokalnych klienta. Atakujący może skopiować stamtąd PowerShell.exe, zmienić nazwę pliku wykonywalnego i go uruchomić. W wielu przypadkach istnieją foldery, które nie znalazły się na liście zablokowanych i dlatego można uzyskać do nich dostęp.
Ponadto, jeśli jest to komputer wydany przez firmę, istnieje prawdopodobieństwo, że niektórzy programiści zostawili po sobie kilka skryptów, które można uruchomić, a nawet zmodyfikować. Niektóre z nich można by nawet wykonać z uprawnieniami administratora domeny. Podsumowując, listy blokad nie są lekarstwem na żadne włamania.
Jak zabezpieczyć połączenia pulpitu zdalnego
Istnieje wiele innych scenariuszy obejścia tradycyjnej obrony i przeprowadzenia ataku eskalacji uprawnień. Wspólnym mianownikiem jest to, że złoczyńca uzyskuje dostęp do Eksploratora plików na wczesnym etapie ataku. Wiele aplikacji innych firm korzysta z natywnych narzędzi do zarządzania plikami systemu Windows i można zastosować podobne techniki, o ile te aplikacje działają w ograniczonym środowisku.
Istnieje wiele opcji zaaranżowania ataku nawet w ograniczonym środowisku. Możesz jednak podnieść poprzeczkę potencjalnemu intruzowi. Oto sześć wskazówek, które pomogą odeprzeć ataki wykorzystujące połączenie pulpitu zdalnego.
- Użyj zasad grupy, aby określić listy dozwolonych aplikacji i listy blokowania.
Wciąż jednak pozostawia to pewne luki w wykonywaniu dowolnego kodu. Rozważ zapoznanie się z projektem LOLBAS, aby zorientować się w nieudokumentowanych metodach manipulowania plikami i uruchamiania kodu w systemie. Lepiej jest łączyć różne rodzaje ograniczeń. Na przykład możesz zezwolić na pliki wykonywalne podpisane przez Microsoft, ograniczając użycie cmd.exe.
- Wyłącz zakładki ustawień w Internet Explorerze (możesz to zrobić lokalnie poprzez rejestr).
- Użyj narzędzia Regedit, aby zapobiec otwieraniu wbudowanej funkcji Pomocy systemu Windows.
- Wyłącz opcję montowania dysków lokalnych dla połączeń zdalnych, jeśli nie jest to krytyczne dla Twojej organizacji.
- Ograniczyć dostęp do dysków lokalnych zdalnego komputera, zachowując dostęp tylko do folderów użytkownika.
- Usuń uprawnienia administratora i wymuszaj najmniejsze uprawnienia, na przykład dzięki rozwiązaniu do zarządzania dostępem uprzywilejowanym (PAM), które umożliwia efektywne administrowanie systemem Windows bez uprawnień administratora domeny lub innych uprawnień superużytkownika
Microsoft nie jest jedynym środowiskiem, które cierpi z powodu takich ataków. Sieci Apple macOS odnotowały dramatyczny wzrost liczby ataków ransomware związanych ze zdalnymi komputerami stacjonarnymi