¿Es posible que una máquina remota se "escape" de una carpeta asignada a través de RDP?

2

Aunque la mayoría de las personas parecen compartir unidades completas con RDP, es posible compartir carpetas individuales, asignándolas a una unidad, por ejemplo, con subst <lettertomap>: <pathtofolder> (para otras formas, consulte raymond.cc ).

Los comandos obvios como ..\ no parecen permitir "escapar" de la carpeta (leer o interactuar con otras partes del sistema de archivos) desde la máquina remota, al menos cuando se mapea con subst .
En realidad, parece que las secuencias ..\ se ignoran (por ejemplo, si hay un <mapped drive>\a folder, dir: .... \ a 'muestra su contenido).

También hice un par de pruebas con las utilidades ps * , ninguna de las cuales tuvo éxito en acceder a nada , pero bien podría deberse a la configuración / cortafuegos particular de mi sistema local.

En cualquier caso, esto está lejos de ser una evaluación de vulnerabilidad completa, por lo que le pregunto:
¿Hay alguna característica o vulnerabilidad que permita "escapar" de la carpeta (a su padre)? u otras carpetas) desde la máquina remota? En caso afirmativo, ¿qué son?

Límites:

No restrinjo la pregunta a las versiones de Windows compatibles actualmente, publico vulnerabilidades que afectan solo a las anteriores.

Lo restrinjo a los clientes mstsc.exe de Windows, imagino que cada otro cliente / sistema operativo tiene su propia forma de implementar la característica.

Y lo restringo a las carpetas de mapeo a través de las características nativas de Windows, aunque considero que cualquier juego nativo de Win32 o .NET Framework es justo, por lo que descarto solo las utilidades que instalan controladores propios.

Quitaría ataques basados en archivos que hacen que se ejecute código malicioso mediante la adición o modificación de archivos (a través de vulnerabilidades en el shell local, las extensiones de shell) permitidas (permitidas por las ACL de la carpeta compartida). , controladores, etc.), ya que es bastante obvio que se aplican.
Sin embargo, si tiene alguna lista conveniente de ellos, inclúyala en la respuesta, como un bono para los lectores, para darles una idea más completa de la seguridad de la función.

Una cosa que seguramente sería interesante saber en su lugar es qué tipos de modificaciones del sistema de archivos que RDP permite: ¿solo el contenido y los nombres de los archivos, o también las ACL, las secuencias, etc.? Esto podría permitir a uno delimitar el rango de ataques que son aplicables. Así que incluye esta información si eres consciente de ello.

Nota 1: Me doy cuenta de que esta pregunta es en gran parte sobre la "seguridad" de las características de mapeo en sí mismas. Consideré preguntar sobre eso primero, pero tal pregunta sería más compleja de explicar y tendría un alcance innecesariamente más amplio (innecesariamente, ya que una "vulnerabilidad" en el mapeo solo se convierte en un problema cuando se usa en aplicaciones como RDP).

Nota 2: esta pregunta es algo similar al mío, pero es más genérico y terminó por convertirse en otras cosas, así que creo que es correcto publicar este nuevo.

    
pregunta gbr 11.10.2018 - 16:02
fuente

0 respuestas

Lea otras preguntas en las etiquetas