リモートデスクトップを使用してローカルホストに接続してUACをバイパスしますか?

1

リモートデスクトップ(RDP)を使用して、パスワードを入力せずにコンピューターAからコンピューターBに接続できます。この2台のコンピューターで同じアカウントを使用するため、その逆も可能です。さらに、リモートデスクトップセッションでは、リモートコンピューターのUACプロンプトボタンをクリックできます。

RDPを使用してリモートコンピューターに接続し、RDPを使用して(または単にRDPを使用してに接続するlocalhost)、UAC yesボタンをクリックして、マルウェアがUACをバイパスするのを阻止しているのは何ですか?

マルウェアはRDPプロトコル自体を簡単に実装するか、RDPセッションを開始してRDPセッションでマウスカーソルを移動するだけでした。

windows  security  remote-desktop  malware  uac 
zzh1996
ソース
まず、マルウェアを実行する必要があります。次に、RDPを実行できるコンピューターを実際に知ってから、RDPを戻す方法を知る必要があります。これらの状況が発生する可能性は非常に低いため、マルウェアがこれを利用する可能性はほとんどありません。自分でRDPを実行することはできないため、これを行うために一般的なマルウェアによって悪用される可能性はありません。
LPChip
また、別のコンピューターにリモート接続できる唯一の理由は、ユーザー名とパスワードを入力し、保存資格情報にアクセスしたためです。リモートコンピューターにRDPを実行すると、ホストがロックアウトされるため、提案したループバックは可能です。
LPChip
@LPChip localhost1)複数の同時RDPセッション(サーバーエディションなど)をサポートするコンピューター、および2)Restrict each user to a single sessionポリシーが「いいえ」に設定されている場合、RDPを実行できます。そのポリシーが[はい]に設定されている場合でも、リモートUACボタンが[はい]であるため、OPが明らかに持っているように、リモートマシンの管理者権限を持つユーザーが実行可能な別のユーザーアカウントを使用する限り可能です番号。
Twisty Impersonator

回答:

1

間違った質問をしている

UACは、管理者権限を持つユーザーに(悪意のある可能性のある)プロセスがローカルマシンで実行開始することを拒否するオプションを提供することにより、悪意のあるコードから保護するのに役立つことを忘れないでください。

とはいえ、簡単な言葉で言うと、シナリオの例では、RDPを利用してUACをバイパスし、ローカルコンピューターに対する攻撃を開始するコンピューター上のマルウェアについて説明しています。この攻撃が機能するには、マルウェアがコンピューター上で既に実行されている必要があり、 UACを完全に無意味にバイパスする努力が必要になります

したがって、最初に質問する正しい質問は、悪意のあるプロセスがコンピューターAでUACをバイパスする方法でした。

コンピューターBはどうですか?

投稿の直接的なクエリではありませんが、シナリオはコンピューターBに対する攻撃で動作する可能性があります。コンピューターAが既に侵害されていると、悪意のあるプログラムがRDPセッションを開始し、マウスの動きやキーストロークをコンピューターBに送信する可能性がありますUACをバイパスするために必要です。

しかし、これは正当なセキュリティ脆弱性でもありません。

まず、以下はWindowsのデフォルトの動作ではありません

RDP(リモートデスクトップ)を使用して、パスワードを入力せずにコンピューターAからコンピューターBに接続できます。

これは、次のいずれかがある場合にのみ可能です。

  1. リモートコンピューターの保存された資格情報(資格情報マネージャーに保存されます)、または
  2. デフォルトクレデンシャルの委任を許可するグループポリシーが設定されています。

これらのどちらもデフォルト構成にはありません。これらの両方を「資格情報の保存」と呼びます。

したがって、マルウェアによるコンピューターBへのRDP接続は、コンピューターAに資格情報を保存した場合にのみ可能です。コンピューターAのアカウントのコンテキストで実行されているコードは、保存された資格情報にアクセスできるため、保存する行為は「マルウェアを含め、ユーザーアカウントのコンテキストで実行される現在または将来のコードを明示的に信頼する」と宣言するのと同じです

コンピューターAにコンピューターBのアクセス資格情報を保存することにより、コンピューターBへのアクセスを制御するためのアクセス制御メカニズムを無効にします(少なくともコンピューターAから)。この事実を活用するコードは、OSレベルの脆弱性ではなく、ユーザーが作成した脆弱性を利用しています。

ツイスティななりすまし
ソース
ここでポイントを見逃しています。最近、マルウェアはUACのせいで管理者権限なしで実行され、ユーザーをだまして管理者権限を取得させようとしますが、管理者権限さえ使用せず、実行できる機能が非常に限られているマルウェアがあります。これらは通常、データにアクセスできるものを確認してデータを収集し、それをオフショアサーバーに送信しようとします。
LPChip
質問がUACをバイパスすることであるのを見て、そもそも管理者権限を必要としないマルウェアのポイントを見逃したのはどうしてですか?それとも、あなたが私が逃したと言っている点を誤解していますか?
Twisty Impersonator
AにBの資格情報を、BにAの資格情報を保存した場合(このシナリオは2台のPCを持っている人にとって珍しいことではないと思います)、管理者特権なしでAで実行されているマルウェアはRDPを使用して、管理者として実行できます。これは正しいです?
zzh1996
「この攻撃が機能するためには、マルウェアがコンピューター上で既に実行されている必要があり、UACを完全に無意味に回避する努力が必要です。」しかし、ブラウザの悪用を悪用することでマルウェアがコンピュータ上で実行される可能性がありますが、管理者として実行されておらず、管理者アクセスを得るためのトリックを試みる可能性があります。
LPChip
@LPChipあ、はい、今理解しました。したがって、これらの用語で明示的にフレーム化することはしませんが、回答の後半でそれをカバーします。ここで説明する攻撃は、ユーザーが資格情報を保存することに依存します。これは実際に「脆弱性」を作成しますが、それでもユーザーが作成した脆弱性です。
Twisty Impersonator
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.