Ataques RDP inversos: cómo proteger a su organización


Una Personal computer remota infectada con cierto malware podría hacerse cargo de un cliente que intenta conectarse a ella, dice Check Stage Study. Aquí se explica cómo prevenirlo.

El Protocolo de escritorio remoto de Microsoft es una tecnología generalizada integrada en Windows que permite que las Pc y dispositivos cliente accedan y controlen de manera remota las computadoras remotas. Pero RDP también es una tecnología susceptible que ha sido acosada por varios defectos y debilidades de seguridad. A los piratas informáticos les gusta aprovechar estos defectos para apuntar a cuentas y servicios de escritorio remoto como una forma de infiltrarse en una organización. Un nuevo informe del proveedor de inteligencia de amenazas cibernéticas Check out Place ilustra un tipo específico de ataque conocido como Reverse RDP.

En una publicación de site publicada el jueves, Test Position explicó cómo funciona un ataque RDP inverso. En este ejemplo, un miembro del particular de TI intenta conectarse a una computadora remota en la oficina. Sin embargo, esta computadora ya ha sido infectada por un tipo unique de malware. El malware le da a la Laptop remota la capacidad de atacar la computadora del private de TI. Este tipo de ataque se conoce como RDP inverso porque los usuarios piensan que están controlando la Computer system remota, pero de hecho, lo contrario es cierto.

VER: Cómo trabajar desde casa: guía de profesionales de TI para teletrabajo y trabajo remoto (TechRepublic Quality)

En Black Hat 2019, Los investigadores de Verify Stage revelaron la vulnerabilidad de RDP inversa, demostrando que una computadora remota infectada con malware podría hacerse cargo de cualquier Laptop cliente que se conecte a ella. En octubre de 2019, Microsoft emitió un parche (CVE-2019-0887) para corregir este defecto. Tras la investigación, Look at Position se enteró de que el parche en sí tenía ciertos agujeros de seguridad que permitirían que alguien pasara la solución y recreara la vulnerabilidad inicial. En febrero de 2020, Microsoft lanzó un nuevo parche (CVE 2020-0655) para corregir de manera más efectiva el defecto Reverse RDP.

Sin embargo, Test Issue descubrió una vulnerabilidad adicional relacionada con RDP. Se supone que una función API de Microsoft Home windows conocida como «PathCchCanonicalize» ofrece a las aplicaciones la protección necesaria contra una amenaza conocida como ataques Route-Traversal. En estos tipos de ataques, un hacker engaña a una aplicación en una computadora para que lea y divulgue el contenido de los archivos fuera del directorio raíz utilizado por esa aplicación. Sin esta protección, los atacantes podrían obtener acceso a datos confidenciales en diferentes partes del sistema de archivos, lo que les permitiría modificar archivos críticos.

En su investigación, Verify Place pudo evitar la API oficial de Windows que protege contra los ataques de Route-Traversal. Aunque la falla inicial de RDP inversa fue eventualmente parcheada correctamente, otros programas que usan la función PathCchCanonicalize son vulnerables al mismo tipo de ataque. Check out Position dijo que se ha puesto en contacto con Microsoft con sus últimos hallazgos.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

Para proteger a su organización contra este tipo de ataques, Omri Herscovici, líder del Equipo de Investigación de Vulnerabilidad en Examine Level, ofrece el siguiente comentario:

«Nuestro descubrimiento debe considerarse en dos partes», dijo Herscovici. «La primera parte es que el own de TI en las grandes empresas que usan Home windows debe instalar el parche de febrero de Microsoft, CVE 2020-0655, para asegurarse de que su cliente RDP esté protegido contra el ataque que hemos presentado en BlackHat United states 2019. La segunda parte está dirigida a desarrolladores de todo el mundo. Microsoft descuidó corregir la vulnerabilidad en su API oficial, por lo que todos los programas que se escribieron de acuerdo con las mejores prácticas de Microsoft seguirán siendo vulnerables a un ataque Path-Traversal. Queremos que los desarrolladores estén al tanto de esta amenaza, para que puedan revisar sus programas y aplicar manualmente un parche en su contra «.

Ver también

Manos en guantes escribiendo en el teclado del ordenador portátil. Concepto de protección contra virus

Imagen: Lazy_Bear, Getty Visuals / iStockphoto



Enlace a la noticia initial