violación de RDP sin credenciales

3

En una máquina con Windows Server 2003 parece que alguien ha iniciado sesión a través de RDP sin usar credenciales: hay un acceso registrado, pero no hay nombre de usuario ni contraseña.
Me pregunto cómo es esto posible, y no puedo encontrar un escenario válido, así que pregunto aquí.
Esto fue hecho por un atacante que luego creó una cuenta de administrador y volvió a iniciar sesión a través de su nueva cuenta creada por él mismo.
EDIT: ok, ahora tengo los registros: en los registros de eventos de Windows hay acciones que realiza un usuario que usa un SID en lugar de un nombre de usuario. Esas acciones conducen a un inicio de sesión exitoso como sadmin, la cuenta de administrador renombrada, y esa es la violación.
Así que no creó una nueva cuenta, pero explotó la de administrador.

    
pregunta Flash 11.09.2018 - 17:13
fuente

2 respuestas

3

Como Chris ya mencionó, se podría ejecutar un exploit contra el servidor RDP u otro acceso obtenido a través de otro servicio (Telnet, SSH, Apache Server, etc.). Si esto fue a través de un ataque de día cero o un ataque de fuerza bruta, es otro asunto.

Sin embargo,

vienen a la mente dos exploits, CVE-2008-4250 y CVE-2012-0002 . Sin embargo, sin registros, no puedo saber con certeza. Además, mi respuesta está restringida a vectores de ataque de acceso remoto. Los vectores de ataque físico no han sido considerados.

    
respondido por el safesploit 11.09.2018 - 20:11
fuente
1

Lo más probable es que hayan encontrado un exploit válido en la versión RDP en este sistema y hayan obtenido acceso sin credenciales, o hayan encontrado un exploit en otro servicio expuesto ejecutándose en la misma máquina, obtuvieron acceso administrativo a través de él y lanzaron un RDP. Conexión a su nuevo usuario. El escenario no.2 (obtener acceso desde otro servicio) también podría ocurrir de otras maneras. Eso podría incluir acceso físico (badusb, archivos infectados a través de USB, acceso rápido al teclado cuando nadie estaba buscando, etc.), caída de la carga útil a través de correos electrónicos maliciosos o páginas web falsas y mucho más, a veces más allá de la imaginación. Por lo tanto, hay muchos escenarios posibles y VÁLIDOS, ya que todo lo que se ejecuta en este servidor (incluido el servidor en sí mismo) parece obsoleto.

    
respondido por el Chris Tsiakoulas 11.09.2018 - 18:24
fuente

Lea otras preguntas en las etiquetas