Los investigadores usan el cliente de Microsoft Terminal Solutions …



La técnica permitiría a los atacantes ejecutar código malicioso a través del Protocolo de escritorio remoto utilizando la carga lateral de DLL para evitar los controles de seguridad.

Los investigadores han descubierto una técnica de evasión de defensa que podría permitir a los atacantes ejecutar código malicioso a través del Protocolo de escritorio remoto (RDP) de Microsoft utilizando una táctica de ataque llamada carga lateral de DLL. El método aprovecha Microsoft Terminal Solutions Client (MSTSC).

Los miembros del equipo de Cymulate estaban investigando MSTSC y RDP cuando descubrieron la técnica, que puede usarse para eludir los controles de seguridad, escribe el CTO Avihai Ben-Yossef en un correo electrónico a Dark Studying. Hasta donde los investigadores saben, esta estrategia no se ha utilizado en ataques activos.

DLL de carga lateral, ya que es etiquetado en el marco MITER ATT & CK, puede suceder cuando los programas «especifican de manera incorrecta o vaga una DLL requerida». Como resultado, pueden estar abiertos a una vulnerabilidad en la que se carga una DLL no deseada en el programa. Los atacantes pueden aprovechar los programas legítimos vulnerables a la carga lateral para cargar una DLL maliciosa y enmascarar cualquier acción maliciosa que tomen bajo la apariencia de un sistema o proceso confiable.

Para ejecutar RDP, los usuarios acceden al MSTSC en Home windows para tomar el handle de una computadora remota o máquina virtual utilizando una conexión de crimson, explican los investigadores en una publicación de blog site. MSTSC se basa en un archivo DLL (mstscax.dll) como uno de sus recursos. Los investigadores descubrieron que MSTSC realiza la carga retardada de mstscax.dll con un comportamiento que puede llevar a los atacantes a pasar los controles de seguridad. El ejecutable carga «mstscax.dll» sin verificaciones de integridad para validar el código de la biblioteca, dicen.

Hay dos formas de explotar esto, explica Ben-Yossef. Un atacante podría reemplazar la DLL mstscax.dll en la carpeta c: home windows program32, que requiere privilegios administrativos locales. «La mayoría de los atacantes están obteniendo privilegios administrativos locales en diversas técnicas y, por lo tanto, podrán explotar esto para el uso posterior a la explotación y la evasión», continúa.

En otro escenario, un atacante podría copiar mstsc.exe en una carpeta externa, colocando la DLL en la misma carpeta y ejecutando mstsc desde allí. Esto no requiere privilegios de administrador, señala Ben-Yossef. Microsoft dice que el mstsc no debe usarse fuera de la carpeta c: home windows process32 Sin embargo, esto no se aplica, dice Ben-Yossef.

Ambos escenarios permiten que un atacante omita los controles de seguridad porque el código malicioso se ejecuta en el contexto de mstsc.exe, que es un ejecutable firmado por Microsoft. El primer escenario permitirá que los atacantes persistan, agrega, porque mstsc.exe ejecutará el código malicioso cada vez que se use.

«Los atacantes pueden aprovechar el hecho de que la mayoría de los controles de seguridad no protegen mstsc.exe, ya que es un computer software extendido firmado por Microsoft», explica Ben-Yossef. «Entonces, si un código malicioso se ejecuta en su contexto, tiene muchas posibilidades de no ser detectado».

Cymulate contactó a Microsoft para compartir sus hallazgos el 12 de abril, y la compañía declinó desarrollar un parche. Comprometer al cliente de Escritorio remoto al plantar archivos DLL en un directorio confiable requeriría que un atacante tenga privilegios de administrador, explica Microsoft. La compañía ofrece adicionales Guia sobre cómo se manejan las vulnerabilidades de plantación de DLL. Según dónde se pueda plantar la DLL maliciosa, la vulnerabilidad puede caer en diferentes categorías.

Las organizaciones que desean mitigar esta amenaza pueden deshabilitar el uso de mstsc.exe, usar controles de seguridad para monitorear el comportamiento anormal malicioso que ejecuta mstsc.exe y validar manualmente que el DLL mstscax.dll en la misma carpeta que el DLL authentic firmado por Microsoft, y no uno falso, dice Ben-Yossef.

Contenido relacionado:

Kelly Sheridan es la Editora de individual de Dark Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance & Technological innovation, donde cubrió asuntos financieros … Ver biografía completa

Más ideas





Enlace a la noticia unique