Servidores RDP podem invadir dispositivos de cliente

Servidores RDP podem invadir dispositivos de cliente. Mais de duas dúzias de vulnerabilidades foram descobertas por especialistas em segurança em implementações populares do RDP (Remote Desktop Protocol), incluindo falhas que permitem que um servidor RDP mal-intencionado hackeie um dispositivo que executa o software RDP cliente.

O RDP permite que os usuários se conectem remotamente a outros dispositivos na rede. O protocolo foi originalmente desenvolvido pela Microsoft para Windows, mas há também várias implementações de código aberto que podem ser usadas em sistemas Linux e Unix.

O FBI e DHS alertam sobre o crescente número de ataques RDP. As agência americanas FBI – Federal Bureau of Investigation – e o DHS – Department of Homeland Security – emitiram uma alerta conjunto aos consumidores e empresas sobre o uso crescente da ferramenta de administração do protocolo RDP como um vetor de ataque.

Pesquisadores da Check Point Software Technologies realizaram uma análise detalhada do FreeRDP, do rdesktop e do software Remote Desktop Connection, fornecido com o Windows. Eles identificaram um total de 25 falhas de segurança, incluindo 16 que foram descritas como “principais”.

Uma auditoria manual de código da ferramenta rdesktop de código aberto levou à descoberta de 19 vulnerabilidades (principalmente sobrecargas de buffer baseadas em heap), incluindo 11 com um grande impacto. Algumas dessas falhas podem ser exploradas por um invasor que controla um servidor RDP para executar remotamente o código em um cliente RDP conectado a ele.

FreeRDP foi encontrado para ser mais seguro e pesquisadores descobriram apenas seis falhas, cinco dos quais têm grande impacto. Semelhante ao rdesktop, o FreeRDP possui vulnerabilidades que permitem que um servidor RDP mal-intencionado execute código arbitrário em um cliente.

No caso do software RDP da Microsoft, os especialistas da Check Point dizem que é muito melhor construído e muito mais seguro. No entanto, eles encontraram uma fraqueza relacionada ao fato de o cliente e o servidor compartilharem dados da área de transferência – esse recurso é ativado por padrão.

Se um cliente se conecta a um servidor RDP mal-intencionado e o usuário copia qualquer arquivo, o invasor pode colar seus próprios arquivos – além dos arquivos copiados pelo usuário – em um local arbitrário no dispositivo cliente. Por exemplo, um invasor pode salvar um arquivo mal-intencionado na pasta “Inicialização” do Windows para que ele seja executado toda vez que o sistema for inicializado.

Os tipos de ataques demonstrados pelo Check Point podem ser altamente úteis para os agentes mal-intencionados. Por exemplo, um invasor pode escalar privilégios e obter mais acesso à rede se um membro da equipe de TI da organização segmentada se conectar a um servidor RDP controlado por eles. Os hackers também podem alavancar esses métodos contra os pesquisadores de segurança.

[O método pode ser usado para] atacar um pesquisador de malware que se conecta a uma máquina virtual de área restrita remota que contém um malware testado. Isso permite que o malware escape do sandbox e se infiltre na rede corporativa ”, explicou a Check Point.

A empresa relatou suas descobertas para os desenvolvedores das ferramentas de RDP impactadas em outubro de 2018. Os desenvolvedores do FreeRDP enviaram um patch para o repositório do GitHub menos de um mês depois de serem notificados. Os desenvolvedores do Rdesktop lançaram uma correção em meados de janeiro.

Quanto à Microsoft, a gigante de tecnologia confirmou as descobertas dos pesquisadores, mas decidiu não lançar um patch ou atribuir um identificador CVE, alegando que o problema “não atende a nossa barra de manutenção“. No entanto, existe uma maneira de os usuários protegerem contra os ataques descritos pela Check Point: desabilite o recurso de compartilhamento da área de transferência.

Embora a qualidade do código dos diferentes clientes varie, como pode ser visto pela distribuição das vulnerabilidades encontradas, argumentamos que o protocolo de área de trabalho remota é complicado e está propenso a vulnerabilidades. Como demonstramos em nossos PoCs para o cliente da Microsoft e para um dos clientes de código aberto, um servidor RDP mal-intencionado pode aproveitar as vulnerabilidades dos clientes RDP para obter execução remota de código no computador do cliente ”, concluiu a empresa de segurança.

A Check Point publicou uma postagem no blog descrevendo suas descobertas, junto com um vídeo mostrando como o ataque da área de transferência funciona.

Fonte: CheckPoint
Fonte: Security Week

Veja também:

About mindsecblog 2776 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Google alerta sobre "zero day" antes do lançamento do novo iOS 12.1.4
  2. Uma certeza na vida – A CRISE
  3. Falha de 'Dirty Sock' no snapd permite acesso root aos servidores Linux
  4. Os desafios da diversidade de gênero na Segurança da Informação

Deixe sua opinião!