Microsoft Patch para Reverse RDP Flaw Leaves Place …



La corrección lanzada en febrero es el segundo paso de Microsoft para abordar completamente el problema que Check out Position reveló por primera vez en Black Hat United states of america el verano pasado.

Resulta que un parche que Microsoft emitió en febrero para abordar una solución anterior, pero inadecuada, lanzada en agosto pasado por una falla de seguridad en su Protocolo de escritorio remoto (RDP) tampoco funciona por completo.

Como resultado, los atacantes aún pueden aprovechar el problema subyacente original para acceder a información confidencial en un sistema, modificar archivos críticos, robar archivos de contraseña, exponer el código fuente de aplicaciones web y llevar a cabo otras tareas maliciosas.

Check Point, que descubrió la vulnerabilidad primary y también los problemas en los dos parches que Microsoft emitió para abordar la falla, instó el jueves a los desarrolladores de software program y a los investigadores de seguridad a conocer el problema y asegurarse de que sus propios proyectos de software package sean parcheado manualmente

Según la compañía, si bien el parche de febrero aborda la vulnerabilidad en el cliente RDP, no soluciona el problema en una interfaz de programación de aplicaciones (API) asociada que desencadenó el problema en primer lugar. El proveedor de seguridad dijo que se había comunicado con Microsoft sobre el problema después de analizar el segundo parche de la compañía, pero que no había recibido ningún comentario de la compañía.

«El personal de TI en las grandes empresas que usan Home windows debe instalar el parche de febrero de Microsoft (CVE 2020-0655) para asegurarse de que su cliente RDP esté protegido «, dijo Examine Stage en un comunicado. Mientras tanto, los desarrolladores deben comprender que todos los programas que incluyen la función API en cuestión siguen siendo vulnerables a un ataque transversal.

«Queremos que los desarrolladores sean conscientes de esta amenaza, para que puedan revisar sus programas y aplicar manualmente un parche en su contra», dijo el proveedor de seguridad. célebre.

Los errores originales en RDP que Look at Place reveló por primera vez en Black Hat Usa 2019 básicamente les dieron a los atacantes una forma de llevar a cabo lo que el proveedor de seguridad describió como un ataque RDP inverso. RDP esencialmente brinda a los administradores de Windows e incluso a usuarios individuales una forma de conectarse y controlar remotamente otra computadora con Home windows por varias razones legítimas y de uso frecuente. En un escenario típico, un sistema de cliente RDP se conectaría y controlaría un servidor RDP. Check Level descubrió que las vulnerabilidades podrían usarse para revertir el flujo de modo que el servidor RDP controlara al cliente RDP, preparando la escena para todo tipo de caos.

Si al principio no tienes éxito …
Cuando Microsoft emitió un parche para el problema (CVE-2019-0887), Los investigadores de Look at Place descubrieron que podían evitar la solución y volver a crear la situación RDP inversa nuevamente. Esto llevó a Microsoft a emitir una segunda solución para el problema como parte de las actualizaciones de parches mensuales de la compañía en febrero. Check Level descubrió que si bien el segundo parche funcionó como se anunciaba para mitigar el problema de reversión del RDP, aún dejaba abierta la posibilidad de que los atacantes «atraviesen» los directorios en un sistema víctima y accedan, lean y manipulen archivos a los que no deberían &#39 Normalmente tiene acceso.

El punto tuvo que ver con una API que Microsoft recomienda, irónicamente, como una mejor práctica para prevenir el recorrido de la ruta, de acuerdo con Verify Place.

«En las prácticas de codificación segura, al encontrar una ruta a un archivo dada por el usuario, el desarrollador debe asegurarse de que la ruta … esté representada de una sola manera para validar que se refiere a una ubicación permitida», dice Omri Herscovici, Líder del equipo de investigación de vulnerabilidad en Examine Issue.

Los desarrolladores de Windows lo hacen utilizando una API recomendada por Microsoft llamada «PathCchCanonicalize». «Descubrimos que la función de Home windows» PathCchCanonicalize «se puede omitir fácilmente cuando un atacante united states &#39/&#39 en lugar de &#39&#39 al escribir una ruta», dice Herscovici.

El hecho de que Microsoft no aborde este problema es lo que ahora ofrece a los actores de amenazas una vía para llevar a cabo ataques de recorrido transversal.

«En CVE-2019-0887, Microsoft intentó resolver el recorrido de la ruta con PathCchCanonicalize sin darse cuenta de que se puede omitir», señala Herscovici. «En CVE-2020-0655, Microsoft abordó el problema &#39&#39 independientemente en el código de manejo de RDP, sin corregir la función PathCchCanonicalize».

Hasta el momento, Microsoft no ha ofrecido ninguna razón por la que no haya solucionado este problema, aunque Look at Point notificó al proveedor al respecto, dice.

En un comunicado enviado por correo electrónico, una portavoz de Microsoft dijo que la actualización que la compañía lanzó en febrero resolvió el problema en los Servicios de Escritorio Remoto. «Estamos investigando reclamos adicionales y tomaremos las medidas apropiadas según sea necesario para ayudar a mantener a los clientes protegidos», dijo el comunicado.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia unique