Получение админ прав на терминальном сервере.

S

Strm61

Новичок
Пользователь
Регистрация
6 Фев 2018
Сообщения
57
Реакции
11
Ситуация такая, есть терм. сервер Win2088r2 , все пользователи работают без админ прав, пароли 8+ символов, блокировка после 3 неудачных попыток введения пароля. Был обнаружен новый пользователь с админ правами, который естественно мной не создавался.
Вопрос: как???? Где копать?
 
Strm61 написал(а):
Ситуация такая, есть терм. сервер Win2088r2 , все пользователи работают без админ прав, пароли 8+ символов, блокировка после 3 неудачных попыток введения пароля. Был обнаружен новый пользователь с админ правами, который естественно мной не создавался.
Вопрос: как???? Где копать?
Нажмите для раскрытия...
Вариантов очень много, не обязательно что rdp кто-то брутил. У win server 2008r2 уязвимостей с рискскоре 10 дофига. Это если говорить про атаку «в лоб». Могли заходить через комп одного из сотрудников, вы ведь не мониторите безопасность их рабочих машин. Или открытие зловреда на сервере.
Что касается отсутствие админ прав, так тот же CVE-2011-1249 (MS11-046) повышает привилегии пользователя до админа. Экплоит паблик с 2016 года. И это далеко не единственный вариант. Скрытые учётки на этой ОС так же создаются даже некоторым паблик ПО (используется набор эксплоитов) сразу с админ правами.

Если есть что потерять, то заказывайте аудит, выясняйте. Консультации по форумам это гадание на кофейной гуще.
 
Strm61 написал(а):
Ситуация такая, есть терм. сервер Win2088r2 , все пользователи работают без админ прав, пароли 8+ символов, блокировка после 3 неудачных попыток введения пароля. Был обнаружен новый пользователь с админ правами, который естественно мной не создавался.
Вопрос: как???? Где копать?
Нажмите для раскрытия...
Проверьте открытые шары SMBv1 - скорее всего вас взломали пилюлей CVE-2017-0144
Проверяется легко за счет журнала аудита Windows.
 
3e6pa написал(а):
Проверьте открытые шары SMBv1 - скорее всего вас взломали пилюлей CVE-2017-0144
Проверяется легко за счет журнала аудита Windows.
Нажмите для раскрытия...
Шар нет вообще, апплокер включен - запуск только разрешенных приложений....
 
Strm61 написал(а):
Шар нет вообще, апплокер включен - запуск только разрешенных приложений....
Нажмите для раскрытия...
Вам Филмор верно сказал. Без толкового аудита вариантов овердохрена. Если хотите сами разобраться, найдите в паблике толковый мануал по проведению аудита винсерверов и вперед по нему ни чего не пропуская.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху