domingo, 23 de febrero de 2014

Evitando ejecución de programas remotos en RDP (I de II)


Hoy tras un laboroso día de limpieza en el que habían muchos cables por todos lados al rededor mío, por la tarde al terminar todo esto, pensé en el ataque realizado al servidor de aplicaciones remotas y decidí hacer una par de pruebas mas comunes en al realizar pentesting o auditorias de seguridad.
Partiendo de que el administrador comparte una aplicación remota, según el archivo de configuración de la conexión RDP. Esta debería de estar asegurada, para permitir únicamente la ejecución de esta, y que cualquier inicio de sesión no tenga permitido ejecutar ninguna otra aplicación en vez de esta o iniciar sin que esta se ejecute.


Figura 1: Archivo de configuración de conexión RDP.

Una forma sencilla de acceder a un servidor de aplicaciones remotas desprotegido, es realizar una conexión sin mas que los parámetros de la dirección o host del servidor y el puerto, para ello se puede utilizar el símbolo de sistema y ejecutar mstsc.exe /v:url:puerto, sin ningún parámetro adicional.


Figura 2: Iniciando conexión RDP desde símbolo de sistema.


Si el servidor no esta configurado adecuadamente ingresaras directamente al escritorio de Windows, en el caso de algún usuario malicioso, tendrá muchas mas facilidad para instalar alguna puerta trasera, escalar privilegios, robar información confidencial o sensible de la organización, propagarse dentro de la red interna, etc.

Figura 3: Estableciendo la conexión con el servidor.

Figura 4: Acceso al escritorio remoto del servidor.

En este caso comprometer el servidor puede ser sumamente sencillo, y para lograrlo se pueden utilizar mas de un vector de ataque, aunque claro en este caso hay un factor de ventaja y es que se disponen de las credenciales de acceso al servidor, solo basta jugar con este para tener mas opciones en el mismo, pero en otros casos es necesario realizar ataques de fuerza bruta para acceder y lo único que te mantendrá al margen a muchos atacantes, aunque no a todos, será establecer unas buenas políticas de seguridad que te ayuden a gestionar que reglas se aplicaran y administrar de forma correcta tu servidor antes de lanzarlo de cara al publico.

Saludos.
Lexer Pars.   

**************************************************************************************************************************************
Evitando ejecución de programas remotos en RDP (I de II)
Evitando ejecución de programas remotos en RDP (II de II)
******************************************************************************************************************************************************************************************************************************************************************************
       


No hay comentarios:

Publicar un comentario