Piratage de serveur Windows par Terminal Server et RDP

Dernière Mise à jour le

Les serveurs Microsoft sont aussi visés par des campagnes de piratage à travers Terminal Server (TSE) et RDP (Remote Desktop Protocol).
Il s’agit souvent de déposer des ransomwares ou crypto-monnaie.
Souvent, il s’agit d’attaque brute-force tirant partie de comptes Windows mal sécurisés.
Lorsqu’un serveur de fichiers est touché, cela peut faire de très gros dégâts.

Cette page donne un aperçu de quelques piratages qui ont pu être effectués afin de sensibiliser les administrateurs au danger de Terminal Server.

Piratage de serveur Windows par Terminal Server et RDP
Piratage de serveur Windows par Terminal Server et RDP

Introduction à Terminal Serveur et RDP

Terminal Server est un composant de Microsoft Windows (dans les versions clientes et serveur) qui permet :

  • La prise et contrôle à distance d’un serveur pour les administrateurs.
  • La publication d’application ou l’accès à des bureaux à distance. Par exemple depuis un PC client ou un terminal.

RDP signifie Remote Desktop Protocol.
Le contrôle du serveur est optimisé sur des réseaux locaux (Local Area Network) ou régionaux Metropolitan Area Network, fournissant des meilleurs latences et débits que des réseaux plus larges comme Internet.

Comme tout service réseaux, on peut aussi l’attaquer par internet.
Mais si le serveur RDP est mal sécurisé, un attaquant peut prendre la main sur le serveur et effectuer différentes opérations.
En 2013, avant l’ère des crypto-Ransomwares, sur le forum un long sujet concernant des attaques sur des serveurs ont eu lieu à travers ce service, il s’agissait du Ransomware OMG, voir : La fiche du Ransomware OMG.

A partir de fin 2015, ces attaques se sont intensifiées : Il s’agit d’attaque brute-force, énumérer les utilisateurs Windows et tenter de se connecter à travers des tentatives successives de mot de passe.
Si un compte Windows est présent avec un mot de passe faible, l’attaquant pourra se connecter au serveur et aura la main dessus.
De plus, des outils facilitant ces attaques sont vendus par des groupes, plus d’informations sur ce business : Business malwares : le Pourquoi des infections informatique.

En Mars 2020, avec le coronavirus / COVID-19 et l’utilisation du télétravail, on assiste à une recrudescence de l’utilisation de Terminal Server.
Malheureusement, les règles de sécurité ne sont pas toujours respectées puisque ces serveurs sont directement accessibles par internet.

Piratage de serveur Windows par Terminal Server

Les attaques et piratage de terminal serveur et RDP

En 2017, j’ai mis en place un honeypot, pour voir ce qui se passe.
Il s’agit de VPS avec des règles de redirections de ports qui redirigent vers une machine virtuelle (VM).
Sur cette VM, se trouve l’accès du bureau à distance et aussi SMB.

Enfin, un utilisateur Windows admin avec le mot de passe admin est présent.
Le tout sur un Windows 7 64-bits (pas un Windows serveur, à cause de la vulnérabilité MS17-010 qui n’est pas exploitée dessus).

Piratage de serveur Windows par Terminal Server

Ver Morto

Le worm (ver informatique) Morto est un ver de 2011 qui se propage par RDP.
Le ver effectue des attaques brute-force sur les comptes administrateur.
Si un compte est trouvé et capable de se connecter le ver s’installe et utilise ensuite le serveur pour effectuer d’attaques RDP brute-force.

Cela n’est donc pas très discret et on peut voir un balaie des processus systèmes Windows csrss.exe, winlogon.exe et LogonUI.exe.

Piratage de serveur Windows par Terminal Server : le ver morto

Pour se faire, le ver Morto écrit un fichier \\tsclient\a\ chargé par le processus rundll.exe

Piratage de serveur Windows par Terminal Server : le ver morto

Ce dernier est très actif, il infecte la VM plusieurs fois par jour.

Ransomware

Comme évoqué dans l’introduction, des campagnes de rançongiciels ont aussi lieu, régulièrement des utilisateurs sur les forums viennent s’en plaindre.
La famille BandarChor / Criakl / Rakhni (Crypto-Ransomware) avec des extensions .XTBL a été particulièrement active.
Pas besoin de vous faire une idée des dégâts, si les fichiers du serveur de fichiers sont chiffrés et qu’aucune sauvegarde n’est présente.

D’après les sujets qui reviennent régulièrement, les serveurs sont plutôt attaqués le Week-end, lorsque les administrateur ne travaille pas.
Il est possible que les scans ont lieu la semaine.
Ainsi, le lundi, les victimes s’aperçoivent que les documents ont été attaqués par un rançongiciel.

Voici quelques captures d’écran, de ransomwares qui ont été installés sur le honeypot, rien de vraiment nouveau de ce côté là.
Il s’agit de la famille de ransomware GlobeImposter assez active en 2017.

Les notices de paiement avec les messages « Your files are encrypted!« 

Piratage de serveur Windows par Terminal Server : le risque des ransomwares
Piratage de serveur Windows par Terminal Server : le risque des ransomwares

2 BT pour le paiement avec une adresse en @india.com.
2 bitcoin, cela fait environ 4500 euros, ce qui est relativement élevé pour un ransomware. D’habitude cela tourne plutôt autour de 500 $.

Piratage de serveur Windows par Terminal Server : le risque des ransomwares

En dernier, le ransomware .onion, une fiche a été créée…

Piratage de serveur Windows par Terminal Server : le risque des ransomwares

Ce ransomware [email protected]

SHA256:880d25776e08769a75c43bf9a69f9f7cafcc46546690270fa36785195f327d97
Nom du fichier :[email protected]_1.exe
Ratio de détection :22 / 61
Date d’analyse :2017-05-31 06:58:34 UTC (il y a 1 minute)
AntivirusRésultatMise à jour
Ad-AwareGen:Variant.Razy.17831020170531
AhnLab-V3Trojan/Win32.Scatter.C197624320170531
ALYacGen:Variant.Razy.17831020170530
ArcabitTrojan.Razy.D2B88620170531
BaiduWin32.Trojan.WisdomEyes.16070401.9500.996620170527
BitDefenderGen:Variant.Razy.17831020170531
BkavHW32.Packed.A43720170530
CrowdStrike Falcon (ML)malicious_confidence_87% (D)20170420
EmsisoftGen:Variant.Razy.178310 (B)20170531
ESET-NOD32a variant of Win32/Filecoder.NKP20170531
F-SecureGen:Variant.Razy.17831020170531
GDataWin32.Trojan-Ransom.BTCWare.E20170531
Invinceageneric.a20170519
KasperskyHEUR:Trojan.Win32.Generic20170531
McAfee-GW-EditionBehavesLike.Win32.VTFlooder.cc20170531
MicrosoftRansom:Win32/Betisrypt!rfn20170531
eScanGen:Variant.Razy.17831020170531
SentinelOne (Static ML)static engine – malicious20170516
SymantecRansom.Locky!gm20170531
TheHackerPosible_Worm3220170528
WebrootW32.Trojan.Gen20170531
ZoneAlarm by Check PointHEUR:Trojan.Win32.Generic20170531
Piratage de serveur Windows par Terminal Server

et le lendemain, une victime sur le forum en Windows Serveur 2012 : Ransomwares fichier en .onion

Piratage de serveur Windows par Terminal Server : le risque des ransomwares
Protéger la désactivation de l’antivirus par un mot de passe peut aider à limiter la casse, même si étant connecté en administrateur, il est possible d’endommager ce dernier.
Cela ne règle pas le problème de sécurité en amont.

Autres piratages Terminal Server

Parmi les autres piratages, des modifications d’utilisateurs Windows.
Certains pirates ne s’embêtent pas et rasent tous les utilisateurs Windows pour en créer des nouveaux.
Le but étant de garder la main, seul, sur le serveur à partir d’utilisateur Windows seulement connus d’eux.
Parfois, c’est discret, parfois non.

Piratage de serveur Windows par Terminal Server

ou encore utiliser le serveur pour effectuer d’autres attaques ou scan.
Ici le piratage installe un scanneur SMTP qui effectue aussi des bruteforce et autres.

Piratage de serveur Windows par Terminal Server

Les vulnérabilités du service RDP de Windows

Comme tout composant de Windows, il reste le risque des vulnérabilités et failles logiciels.
Mai 2019, le service RDP est visé par la vulnérabilité CVE-2019-0708 aka « BlueKeep ».

Il existe une vulnérabilité d’exécution de code à distance dans Remote Desktop Services anciennement connu sous le nom de Terminal Services lorsqu’un attaquant non authentifié se connecte au système cible à l’aide de RDP et envoie des demandes spécialement conçues, alias «Vulnérabilité d’exécution de code à distance des services Bureau à distance».

cve.mitre.org

Une vulnérabilité à distance qui permet l’exécution de code, est donc « wormable ».
C’est à dire que des vers informatiques peuvent être créés pour l’exploiter de manière automatisé.
Enfin elle affecte toutes les versions de Windows jusqu’à Windows 2008 Server (Sauf > Windows 8 et Windows 2012 server).

Microsoft avait alors publié plusieurs bulletins :

Au final, des exploitations fin de l’année 2019, mais cela semble assez mince : BlueKeep (CVE 2019-0708) exploitation spotted in the wild

Sécuriser Terminal Server

TSE est donc particulièrement visé, il s’agit donc un service réseau qu’il faut sécuriser surtout lorsqu’il est accessible directement par internet.
Voici les conseils pour sécuriser sa connexion Terminal Server, qui peuvent généraliser à la plupart des services réseaux.

Laisser un Terminal Server ou serveur RDP directement accessible par internet est très risqué.

Dans la mesure du possible, ne laissez pas l’accès Terminal Server accessible par internet :

  • Privilégier un accès à travers un VPN plutôt qu’un accès direct par internet.
  • A défaut, si vous ne pouvez pas mettre en place un VPN, filtrer les IP sources avec un pare-feu / firewall. Dans ce dernier cas, cela permet d’éviter les attaques automatisées.
  • Mettre en place un second niveau d’authentification (Par exemple 2FA).
  • Suivre les mises à jour de sécurité Microsoft.

Ensuite, gérer vos comptes utilisateurs Windows correctement.
Pensez à supprimer les comptes inutilisés est aussi très important.
Laissez les GPO qui forcent les mots de passe forts activées.

Éventuellement, activez NLA (Network Level Authentication).

Surtout évitez les mots de passe faibles, en effet les attaques par bruteforce visant RDP sont importantes.

Liens autour du piratage et hack

Quelques liens autour du piratage et hack :

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Piratage de serveur Windows par Terminal Server et RDP mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

Laisser un commentaire

54 Partages
Tweetez
Partagez54
Enregistrer
Partagez