Violazione RDP senza credenziali

3

Su un computer Windows Server 2003 sembra che qualcuno abbia effettuato l'accesso tramite RDP senza utilizzare le credenziali: esiste un accesso registrato, ma non esistono né userid né password.
Mi chiedo come sia possibile, e non riesco a capire uno scenario valido, quindi ti sto chiedendo qui.
Questo è stato fatto da un utente malintenzionato che ha quindi creato un account amministratore e ha effettuato nuovamente l'accesso tramite il suo nuovo account creato personalmente.

EDIT: ok, ora ho i log: nei registri eventi di Windows ci sono alcune azioni eseguite da un utente che usa un SID al posto di un nome utente. Quelle azioni portano ad un login di successo come sadmin, l'account Administrator rinominato, e questa è la violazione.
Quindi non ha creato un nuovo account ma ne ha sfruttato uno.

    
posta Flash 11.09.2018 - 17:13
fonte

2 risposte

3

Come già detto da Chris, un exploit può essere eseguito contro il server RDP, o un altro ha ottenuto l'accesso tramite un altro servizio (Telnet, SSH, Apache Server, ecc ...). Che si tratti di un attacco zero-day o di un attacco di forza bruta, è un'altra questione.

Mi vengono in mente due exploit, CVE-2008-4250 e CVE-2012-0002 . Tuttavia, senza registri, non posso sapere per certo. Inoltre, la mia risposta è limitata ai vettori di attacco di accesso remoto. I vettori di attacco fisico non sono stati considerati.

    
risposta data 11.09.2018 - 20:11
fonte
1

Le possibilità più alte sono che abbiano trovato un exploit valido sulla versione RDP su questo sistema e abbiano ottenuto l'accesso senza credenziali oppure hanno trovato un exploit su un altro servizio esposto in esecuzione nella stessa macchina, ottenuto accesso amministrativo attraverso di esso e lanciato un RDP connessione al loro nuovo utente. Lo scenario n. 2 (ottenendo l'accesso da un altro servizio) potrebbe avvenire anche in altri modi. Ciò potrebbe includere l'accesso fisico (badusb, file infetti tramite USB, accesso rapido alla tastiera quando nessuno lo guardava, ecc.), Il carico utile si perde a causa di e-mail dannose o pagine Web finte e molto altro, a volte oltre l'immaginazione. Quindi, ci sono molti scenari possibili e VALID, dal momento che tutto ciò che è in esecuzione su questo server (incluso il server stesso) sembra obsoleto.

    
risposta data 11.09.2018 - 18:24
fonte

Leggi altre domande sui tag