Autenticação do diretório ativo para a máquina comprometida?

1

Digamos que eu tenha uma máquina no meu domínio que foi comprometida por um invasor desconhecido. Se eu usar minhas credenciais de domínio para fazer login nessa máquina remotamente, via RDP, isso expõe minhas credenciais ao invasor?

Eu sei que o AD usa kerberos internamente, mas não estou claro se o cliente RDP obtém o ticket do kerberos diretamente do controlador de domínio ou se ele envia as informações de login para o servidor, que recebe o ticket.

Para esclarecer, o computador que executa o mstsc é o Windows 7, e a máquina possivelmente comprometida é o 2008 R2.

    
por devicenull 30.04.2012 / 03:06

2 respostas

3

Você pode querer ajustar suas expectativas, pois o invasor de hoje tem mais vantagem do que você imagina.

Qualquer máquina com Windows que tenha sido comprometida, qualquer um que tenha efetuado logon nessa máquina, seu token permanecerá na memória até que a máquina seja reiniciada. É possível, e é amplamente conhecido há vários anos, comprometer os tokens da memória e representar essas contas. Esses tokens comprometidos podem ser usados para atacar outros sistemas na rede com essas credenciais.

Também é importante notar que, embora os tokens do Kerberos tenham uma expiração, os tokens do processo do Windows não - eles são indefinidos. Essa foi uma decisão de design particularmente curiosa, já que os tokens de autenticação têm um campo de expiração, mas não são usados pelo Windows.

link

    
por 01.05.2012 / 23:10
4

Isso exporia suas credenciais da mesma forma como se você as inserisse no terminal da máquina comprometida (por exemplo, possivelmente não, mas possivelmente). Embora o SSPI (especialmente o Kerberos) seja suportado a partir do RDP6.0, geralmente mstsc não obtém o ticket do kerberos; ele envia seus pressionamentos de tecla pela conexão RDP (criptografada contra o certificado de máquina da máquina comprometida), e o servidor RDP obtém o ticket do kerberos.

Se você quiser ter certeza de que o servidor não pode roubar sua senha, você precisa ter certeza de que está usando o kerberos para autenticar através do RDP. Você também pode usar a autenticação baseada em certificado (ou seja, cartão inteligente) - mas lembre-se de que, a menos que seja configurado de outra forma, o RDP passará pela autenticação do smart card em muitos casos.

Tenha em mente também que roubar suas credenciais não é a única ameaça aqui. Não importa qual, a máquina de destino terá em algum momento seu ticket de concessão de ticket, o que significa que poderá realizar ações como você pela validade do ticket de concessão de ticket. Esta é basicamente a fixação de sessão. O servidor comprometido também pode apenas seqüestrar sua sessão.

Em suma, não, isso não é particularmente seguro.

    
por 30.04.2012 / 03:13