Zpět na domů

Shadow RDP obchází MFA v Azure

Útok Shadow RDP umožňuje útočníkům připojit se k relaci administrátora Azure bez MFA. Rozbor rejstříku, logů Event ID a ochranných opatření: GPO, Conditional Access, PAW. Materiál pro senior specialisty na infrastrukturu.

Zachycení relací Shadow RDP: obcházení MFA v cloudu
Advertisement 728x90

Shadow RDP: Jak útočníci přebírají relace cloudových administrátorů

Útočníci obešli MFA v hybridním prostředí on-prem AD + Azure pomocí vestavěné funkce Shadow RDP ve Windows. Připojili se k aktivní relaci administrátora bez opětovné autentizace a získali plnou kontrolu nad Azure zdroji. Útok zůstal v logách Azure AD nepovšimnut až do analýzy délky relace přes 12 hodin.

Podmínky útoku a počáteční známky

Hybridní infrastruktura zahrnovala on-prem Active Directory se synchronizací přes Azure AD Connect. Kritické aktiva — virtuální stroje a úložiště — byla v Azure. MFA byla aplikována na všechny privilegované účty.

Azure AD zaznamenal jediné úspěšné přihlášení s MFA ráno. Následné akce vypadaly jako pokračování stejné relace. Anomálie se projevila nadměrnou délkou: více než 12 hodin bez noční aktivity administrátora.

Google AdInline article slot

| Známka | Normální chování | Během útoku |

|--------|------------------|-------------|

| Délka relace Azure AD | 8–9 hodin | 24+ hodin |

Google AdInline article slot

| MFA požadavky | Každé ráno nebo při změně IP | Chybí po převzetí |

| IP adresa | Kancelář/VPN | Stejná jako u admina |

| Procesy | Prohlížeč, PowerShell, RDP | + mstsc /shadow |

Google AdInline article slot

| Čas aktivity | 9:00–18:00 | Noční hodiny |

Technická realizace Shadow RDP

Shadow RDP je vestavěná funkce Windows 10/11 a Server s rolí RDSH. Umožňuje připojení k aktivní relaci jiného uživatele.

Útočníci upravili registr na stanici administrátora pro tichý přístup:

# Plná kontrola bez souhlasu (režim 2)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 2 /f

# Vypnout upozornění na sledování
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v ShadowNotification /t REG_DWORD /d 0 /f

Režimy Shadow:

  • 0 — zakázáno
  • 1 — plná kontrola s povolením
  • 2 — plná kontrola bez povolení
  • 3 — sledování s povolením
  • 4 — sledování bez povolení (použito v útoku)

Navíc nastavili pravidla Windows Defender Firewall pro RDP porty.

Připojení k relaci: mstsc /shadow:ID_relace /control /noConsentPrompt.

Klíčové události v logách Windows

Monitorování následujících Event ID umožňuje odhalit Shadow RDP:

  • Event ID 20508 — Shadow View Permission Granted
  • Event ID 20503 — Shadow View Session Started
  • Event ID 20504 — Shadow View Session Stopped

Další logy pro vyšetřování:

| Zdroj | Event ID | Zaznamenává |

|-------|----------|-------------|

| Security (stanice admina) | 4657 | Změna Shadow/ShadowNotification v registru |

| PowerShell Operational | 4103 | Set-ItemProperty pro registr |

| TerminalServices-LocalSessionManager | 20503 | Začátek stínového připojení |

| TerminalServices-LocalSessionManager | 20504 | Konec stínového připojení |

| Azure AD Sign-in | — | Délka relace |

| Azure AD Sign-in | — | Chybějící MFA při změně IP |

Opatření proti útoku

  • GPO pro vypnutí Shadow RDP: Nastavit Shadow=0 na nepotřebných hostech.
  • Omezení RDP relací: GPO „Omezit délku relace“ — 8 hodin s nuceným ukončením.
  • Conditional Access v Azure AD:

* Frekvence MFA: 1–2 hodiny.

* Opětovná autentizace při změně IP.

* Zakázat "Keep me signed in" pro privilegia.

  • Ochrana RDP hostů:

* Restricted Admin Mode.

* Credential Guard.

* Remote Credential Guard.

  • PAW/PAM stanice: Izolované stroje pro administraci, restart po relaci, bez internetu/emailu.
  • Monitorování v SIEM/SOAR:

* Změny registru.

* Event ID 20503/20504.

* Korelace cloudových a on-prem logů.

Co je důležité

  • MFA nechrání před převzetím relací: soustřeďte se na kontrolu délky a procesů.
  • Shadow RDP je vestavěná funkce, odhalíte ji podle registru a Event ID 20503+.
  • Hybridní prostředí vyžaduje korelaci logů Azure AD a Windows.
  • Conditional Access s častým MFA je základní bariéra proti session hijacking.
  • PAW minimalizuje povrch útoku na koncových stanicích.

— Editorial Team

Advertisement 728x90

Číst dál