È possibile che una macchina remota "esca" da una cartella mappata tramite RDP?

3

Anche se molte persone sembrano condividere intere unità con RDP, è possibile condividere singole cartelle, mappandole su un'unità, ad esempio con subst <lettertomap>: <pathtofolder> (per altri modi, vedere raymond.cc ).

Comandi ovvi come ..\ non sembrano consentire "l'escaping" dalla cartella (lettura o interazione con altre parti del file system) dalla macchina remota, almeno quando si esegue il mapping con subst .
In realtà sembra che le sequenze ..\ siano ignorate (ad es. Se esiste una directory <mapped drive>\a folder, : .... \ a 'elenca il suo contenuto).

Ho fatto anche un paio di test con le utility ps * , nessuna delle quali è riuscita ad accedere a qualcosa , ma potrebbe essere dovuto alla particolare configurazione / firewall del mio sistema locale.

In ogni caso, questo è lontano da una valutazione completa della vulnerabilità, quindi ti chiedo:
Esistono funzionalità o vulnerabilità che consentono di "sfuggire" dalla cartella (al suo genitore o altre cartelle) dal computer remoto? Se sì, quali sono?

Limiti:

Non limito la domanda alle versioni di Windows attualmente supportate, pubblichiamo vulnerabilità che riguardano solo quelle più vecchie.

Lo limito ai client mstsc.exe di Windows, immagino che ogni altro client / sistema operativo abbia il proprio modo di implementare la funzione.

E lo limito a mappare le cartelle tramite le funzionalità native di Windows, anche se considererei qualsiasi gioco nativo di Win32 o .NET Framework fair game, e quindi escludo solo i programmi di utilità che installano i propri driver.

Tralascio gli attacchi basati su file che causano l'esecuzione di codice dannoso da parte della licenza (consentita dagli ACL della cartella condivisa) aggiunta o modifica di file (tramite vulnerabilità nella shell locale, estensioni della shell , driver ecc.), dal momento che è abbastanza ovvio che si applicano.
Se ti capita di avere un elenco conveniente di essi, però, includilo nella risposta, come bonus per i lettori, in modo da dare loro un'idea più completa della sicurezza della funzione.

Una cosa che sicuramente sarebbe interessante sapere invece è ciò che tipi di modifiche del file system RDP consente: solo contenuti e nomi di file, o anche ACL, stream, ecc.? Questo potrebbe consentire di delimitare la gamma di attacchi applicabili. Quindi includi queste informazioni se ne sei a conoscenza.

Nota 1: Mi rendo conto che questa domanda riguarda in gran parte la "sicurezza" delle funzionalità di mappatura stesse. Ho preso in considerazione la prima domanda, ma una tale domanda sarebbe più complessa da spiegare e avrebbe un ambito inutilmente più ampio (inutilmente poiché una "vulnerabilità" nella mappatura diventa un problema solo quando viene utilizzata in applicazioni come RDP).

Nota 2: questa domanda è in qualche modo simile al mio, ma è più generico e finisce con il decodificare in altre cose, quindi penso sia corretto postare questo nuovo.

    
posta gbr 11.10.2018 - 16:02
fonte

0 risposte

Leggi altre domande sui tag