Las vulnerabilidades críticas de RDP continúan proliferando


El martes de parches de este mes nos trae una cantidad relativamente pequeña de CVE que se están parcheando, pero un porcentaje anormalmente alto de vulnerabilidades críticas notables.

Análisis de vulnerabilidad: CVE-2021-34535

Una de esas vulnerabilidades se identifica como CVE-2021-34535, que es una falla de ejecución remota de código en el software del cliente de Escritorio remoto, observada en mstscax.dll, que es utilizado por el cliente RDP integrado de Microsoft (mstsc.exe). La vulnerabilidad está muy relacionada con un mistake publicado en julio de 2020, CVE-2020-1374, que también se produjo a través del proceso Patch Tuesday de Microsoft y tenía características muy similares. La vulnerabilidad es un desbordamiento de enteros debido a un campo de tamaño de carga útil controlable por el atacante, que en última instancia conduce a un desbordamiento del búfer de pila durante la asignación de memoria. La vulnerabilidad se puede desencadenar a través de la función Extensión de canal digital de redirección de video RDP (MS-RDPEV), que generalmente se implementa en el puerto 3389 y está contenida dentro de la carga útil UDP comprimida y RDP encriptado usando TLS.

Pero, ¿esta falla, a pesar de su impresionante puntaje CVSS de 9.9, se eleva al nivel de vulnerabilidades anteriores de RDP, incluido el infame BlueKeep (CVE-2019-0708)? No tan rápido, hay algunos factores adicionales a tener en cuenta.

Escenario de ataque

En primer lugar, se trata de una vulnerabilidad del lado del cliente, lo que significa que no existe una capacidad actual de autopropagación o «capacidad de gusano» desde la perspectiva de World-wide-web. El escenario de ataque más possible sería convencer a un usuario de que se autentique en un servidor RDP malicioso, donde el servidor podría desencadenar el error en el lado del cliente. Durante la reproducción del problema, pudimos desencadenar fácilmente el bloqueo y observar una memoria posterior utilizando el desbordamiento controlado, lo que debería facilitar la explotación. Creemos que es possible que se desarrollen exploits para esta vulnerabilidad, pero la disponibilidad de un parche antes de cualquier explotación pública conocida ayuda a mitigar los riesgos para las organizaciones y las personas.

En segundo lugar, gracias a la proliferación y el alcance generalizados de BlueKeep y otras vulnerabilidades de RDP relacionadas, una parte importante de los clientes y servidores de RDP se han desactivado o se han movido del perímetro de la crimson. Esto es menos importante dada la naturaleza del error del lado del cliente, pero ayuda con la superficie de ataque normal.

Además del cliente RDP integrado de Microsoft (mstsc.exe), que es la conexión de pink de escritorio remoto más común, también hemos confirmado que algunos vectores RDP menos conocidos se ven afectados por esta vulnerabilidad. El «Modo de sesión mejorado» de Microsoft Hyper-V Manager y la Protección de aplicaciones de Microsoft Defender (WDAG) utilizan RDP para compartir la pantalla y presentar el navegador seguro, respectivamente. Esto le da al usuario ultimate una vista remota de su instancia aislada en el contexto del sistema anfitrión. En lugar de volver a implementar la capacidad para compartir sesiones de RDP, Microsoft transfirió la foundation de código del cliente RDP existente a Hyper-V y WDAG. Dado que el código del cliente RDP está contenido en mstscax.dll (un objeto COM de ActiveX), simplemente se puede cargar en los procesos Hyper-V (vmconnect.exe) y WDAG (hvsirdpclient.exe) para aprovechar la funcionalidad del cliente RDP. No parece haber habido ninguna reducción de la superficie de ataque en esta base de código, ya que la misma DLL se carga en los tres procesos mstsc.exe, vmconnect.exe y hvsirdpclient.exe. Los componentes afectados son:

  • El cliente RDP integrado de Microsoft, mstsc.exe, utiliza el mstscax.dll susceptible cuando un cliente se conecta de forma remota a un servidor RDP a través de la pink. Hemos confirmado que mstsc.exe se bloquea y la vulnerabilidad puede activarse luego de que el cliente se haya autenticado en un servidor RDP.

Mitigación: parche

  • El software package Hyper-V Manager de Microsoft también usa mstscax.dll donde reside la función vulnerable. Cuando se utiliza el «Modo de sesión mejorado» (habilitado de forma predeterminada en Hyper-V Supervisor), el proceso vmconnect.exe carga mstscax.dll. Hemos confirmado a través de pruebas que la activación de la vulnerabilidad desde el inside de una imagen de Hyper-V Windows 10 bloqueará vmconnect.exe en el host. Esto significa que está sujeto a escapes de invitado a host utilizando la vulnerabilidad. (Hyper-V está deshabilitado de forma predeterminada en Windows 10).

Mitigación: parche o deshabilite el «Modo de sesión mejorado»

  • Software Guard de Microsoft Defender también united states mstscax.dll para presentar al usuario una vista de su navegador Edge e IE en contenedores. Cuando se navega por una «nueva ventana de protección de aplicaciones» desde Edge, se inicia el proceso hvsirdpclient.exe que carga mstscax.dll. No hemos confirmado que el proceso de WDAG hvsirdpclient.exe se bloquee, pero united states la misma foundation de código, por lo que recomendamos parchear si united states WDAG (WDAG está deshabilitado de forma predeterminada en Home windows 10).

Viendo hacia adelante

El cliente RDP integrado y los clientes Hyper-V / WDAG se comunican a través de diferentes medios de transporte en forma de TCP / IP y VMBus, pero ambos utilizan la misma implementación del protocolo de cliente RDP. Dado que la falla está contenida dentro de mstscax.dll y es autónoma, la vulnerabilidad se transfirió a estas dos implementaciones junto con el resto del código base.

Si bien la urgencia de parchear sigue siendo algo menor que las vulnerabilidades críticas pasadas, los actores de amenazas buscarán convertir en arma cualquiera de estas frutas al alcance de la mano que aprovechan los protocolos de crimson comunes. La aplicación de parches debe ser una prioridad máxima y, además, se recomienda encarecidamente una revisión completa y continua de los clientes y servidores RDP conectados a World-wide-web y en crimson interna. Eliminar o reducir la superficie de ataque es uno de los mejores contraataques a la explotación de vulnerabilidades.

Microsoft ha publicado un artículo de la foundation de conocimientos sobre el problema. aquí con la información del parche correspondiente. Mientras tanto, continuamos monitoreando de cerca esta vulnerabilidad si se observa explotación, podemos publicar contenido adicional para los clientes.

Para conocer las mejores prácticas de seguridad de RDP, consulte https://www.mcafee.com/weblogs/other-blogs/mcafee-labs/rdp-protection-explained/

Agradecimientos a Cedric Cochin, McAfee.





Enlace a la noticia primary