26. November 2021

Net-exe ermöglicht Angreifern Verbindung zu Windows-Administratorfreigaben

Bei einem neu aufgeschalteten Kunden erreichte unsere Leitstelle die Meldung ’Mounted Windows Admin Shares with net.exe‘. Doch was verbirgt sich dahinter? – Windows-Systeme verfügen über versteckte Netzwerkfreigaben, auf die nur Administratoren zugreifen können. Sie bieten die Möglichkeit, Dateien aus der Ferne zu kopieren und andere Verwaltungsfunktionen auszuführen. Beispiele für Netzwerkfreigaben sind C$, ADMIN$ und IPC$. Diese Netzwerkfreigaben bergen jedoch große Gefahren, die wir in diesem Beitrag gerne erläutern möchten:

Welche Gefahren drohen?

Angreifer können diese Technik in Verbindung mit gültigen Konten auf Administratorebene verwenden, um über Server Message Block (SMB) aus der Ferne auf ein vernetztes System zuzugreifen und mithilfe von Remote Procedure Calls (RPCs) mit anderen Systemen zu interagieren, Dateien zu übertragen und übertragene Binärdateien über Remote Execution auszuführen. Beispiele für Ausführungsmethoden, die sich auf authentifizierte Sitzungen über SMB/RPC stützen, sind geplante Tasks, die Ausführung von Diensten und die Windows-Verwaltungsinstrumentierung.

Darüber hinaus können Angreifer NTLM-Hashes (NT LAN Manager) verwenden, um auf Administratorfreigaben auf Systemen mit Pass the Hash und bestimmten Konfigurations-Patch-Levels zuzugreifen.

Mögliche Folgen eines Angriffs

Das Dienstprogramm Net wurde im Falle unseres Kunden verwendet, um eine Verbindung zu Windows-Administratorfreigaben auf Remote-Systemen herzustellen, indem net usecommands mit gültigen Anmeldeinformationen verwendet wurden. An dieser Stelle konnten wir den Angriffsversuch stoppen. Doch was wäre die Folge eines erfolgreichen Angriffs werden?

Der Angreifer hätte sich im nächsten Schritt eine Shell im Netzwerk verschaffen können, die Anmeldeinformationen aufzählt und auswertet. Im Anschluss hätte er sich seitlich im Netzwerk bewegen können, um zwischen den Rechnern zu wechseln und weitere Informationen in der Umgebung zu finden. Hier käme ein Tool zum Einsatz, eine von Windows signierte Binärdatei namens PsExec.exe, die aus der Microsoft Sysinternal Suite stammt und es dem Benutzer ermöglicht, die PowerShell (oder cmd) auf entfernten Hosts an Port 445 (SMB) über benannte Leitungen auszuführen. Es stellt zunächst eine Verbindung zur ADMIN$-Freigabe auf dem Ziel über SMB her, lädt PSEXESVC.EXE hoch und verwendet den Service Control Manager, um die .exe zu starten, die eine benannte Pipe auf dem Remote-System erstellt und schließlich diese Pipe für I\O (Input und Output) verwendet.

Unsere Handlungsempfehlungen:

– Um zu verhindern, dass Windows 10 administrative Freigaben veröffentlicht werden, müssen Sie den Registrierungseditor (exe) öffnen, zum Registrierungsschlüssel HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters wechseln und einen Dword-Parameter namens AutoShareWks hinzufügen(für Desktop-Versionen von Windows ) oder AutoShareServer (für Windows Server) und den Wert auf 0 setzen.

– Administratorfreigaben sollten entfernt werden. Hierfür müssen Sie mit der rechten Maustaste auf den Freigabenamen im Computerverwaltungs-Snap-In klicken und Freigabebeenden auswählen (oder den net share Admin$ /delete-Befehl verwenden). Nach dem Neustart von Windows wird die Admin$-Freigabe jedoch automatisch neu erstellt.

-Einige Telemetriemuster, die zur Erkennung von Administratorfreigaben beitragen können, umfassen die Verwendung von cmd.exe mit den Namen von Freigaben wie localhost\ADMIN$ oder 127.0.0.1\ADMIN$.