近期,国内远控软件ToDesk被曝出存在安全漏洞,攻击者可以通过远程读取并替换配置文件的方式,获取被控端设备的ToDesk设备代码,从而获得被攻击设备的远控权限。

目前,已经有诸多安全自媒体通过这一方式实现了远程获取靶向服务器的权限,使用的ToDesk客户端均为较新的软件版本,据观察通过该方式非法获取远控权限的成功率相当之高。

以自媒体公众号HackRead的测试演示为例,该公众号使用4.7.0.2版本ToDesk软件作为演示对象。

靶服务器上也已经安装了ToDesk,获取服务器webshell,查看服务器进程,发现服务器进程有ToDesk_service.exe。

靶机todesk安装的目录为C:/Program Files/ToDesk/,按实际安装目录来。todesk启动会去加载ToDesk目录下的Config.ini的配置,通过查看该配置文件能获取clientid,但client对应的密码加密。

之后将靶机tempAuthPassEX的值复制到攻击机todesk目录下的config.ini,将攻击机原本的tempAuthPassEX替换为靶机对应的pass值。

重新启动我们攻击机todesk,这时会发现攻击机的远程密码和靶机的一样。对应的id为靶机Config.ini文件内的clientid值。

当然,当服务器未安装todesk时,我们也可以上传todesk安装包,通过webshell进行静默安装。接下来的思路也是将靶机的tempAuthPassEX复制到攻击机config.ini,重启todesk。

以上便是自媒体公众号HackRead的测试演示流程,除此之外,第三方攻防社区中也有网友发布了类似思路的攻击流程,原理基本一致,而且“百试百灵”。

总而言之,ToDesk这样一款在疫情期间崛起的远控软件,曝出这样的安全漏洞,对于用户的信心打击无疑是巨大的,而且是发生在很新的版本上,各位还会安心的使用这款软件么?