El error de Microsoft RDP permite el robo de datos y el secuestro de tarjetas inteligentes



Los sistemas Microsoft Windows que se remontan al menos a Windows Server 2012 R2 se ven afectados por una vulnerabilidad en el protocolo de Servicios de escritorio remoto que brinda a los atacantes, conectados a un sistema remoto a través de RDP, una forma de obtener acceso al sistema de archivos en las máquinas de otros usuarios conectados.

Los actores de amenazas que explotan la falla pueden ver y modificar los datos del portapapeles o hacerse pasar por las identidades de otros usuarios que iniciaron sesión en la máquina para aumentar los privilegios o moverse lateralmente en la pink, descubrieron recientemente los investigadores de CyberArk. Informaron del problema a Microsoft, que emitió un parche para la falla (CVE-2022-21893) en su actualización de seguridad de enero de este martes.

El RDP de Microsoft permite a los usuarios acceder y controlar un sistema Home windows desde un cliente remoto casi como si estuvieran trabajando en el sistema localmente. Las organizaciones lo usan por una variedad de razones, que incluyen permitir el acceso remoto a los sistemas para la mesa de ayuda de TI y los servicios de soporte, brindar a los empleados remotos acceso a un entorno que imita los recursos en su oficina y permitir el acceso a máquinas virtuales en entornos de nube.

En RDP, una sola conexión se puede dividir en múltiples canales virtuales. Los datos en estos canales se pasan a otros procesos a través de un servicio de Windows llamado «canalizaciones con nombre». «Las canalizaciones con nombre son un mecanismo de comunicación entre dos procesos que se ejecutan en una máquina con Home windows», dice Gabriel Sztejnworcel, arquitecto de software program de CyberArk. Los servicios de escritorio remoto de Home windows utilizan canalizaciones con nombre para pasar datos, como datos en portapapeles y datos de autenticación de tarjetas inteligentes, entre el cliente y el sistema remoto.

La vulnerabilidad que CyberArk descubierto está asociado con la forma en que se crean las canalizaciones con nombre en algunas situaciones. El proveedor de seguridad encontró que la falla básicamente permite a cualquier usuario crear una instancia de servidor de canalización con nombre de tal manera que ciertos datos que viajan entre el sistema remoto y el cliente fluyen esencialmente a través de sus canalizaciones creadas maliciosamente. Descubrieron que un atacante podría usar la falla para establecer una presencia de intermediario para interceptar datos como los que se encuentran en los portapapeles de los dispositivos cliente conectados al sistema remoto, o los PIN de tarjetas inteligentes que un usuario podría ingresar para autenticarse en el dispositivo cliente.

Sztejnworcel dice que los investigadores de CyberArk descubrieron que cualquier usuario sin privilegios conectado a una máquina remota a través de RDS podría aprovechar la vulnerabilidad para interceptar, ver y modificar datos de sesiones de otros usuarios que podrían estar conectados a la misma máquina remota. «Esto podría aprovecharse para obtener acceso a los sistemas de archivos de las máquinas cliente de otros usuarios y usar tarjetas inteligentes y números PIN de otros usuarios para autenticarse, suplantando efectivamente la identidad de la víctima», dice. «Lo más importante es que esto podría conducir a una escalada de privilegios».

Según Sztejnworcel, la vulnerabilidad que descubrió CyberArk no es especialmente difícil de explotar. CyberArk desarrolló una herramienta de explotación basic que crea su propia instancia de servidor de tubería y mostró cómo un atacante podría usarla para acceder al sistema de archivos de la víctima, interceptar todo lo que la víctima copie y pegue del sistema remoto y robe los PIN de tarjetas inteligentes para iniciar sesión. a los recursos como usuario autorizado.

Sztejnworcel señala un par de ejemplos en los que un sistema remoto puede tener varios dispositivos cliente conectados. Un bounce box al que los usuarios se conectan para acceder a una purple interna es un ejemplo, dice. De manera similar, un entorno de escritorio basado en sesiones donde muchos usuarios se conectan a la misma máquina y ejecutan aplicaciones sería otro.

«También podría ser posible, utilizando técnicas simples de ingeniería social, engañar a los usuarios con privilegios elevados para que inicien sesión en una máquina a la que el atacante ya está conectado», dice. «Puede ser otro servidor o incluso una estación de trabajo own. La máquina en sí no tiene que estar comprometida ya que explotar la vulnerabilidad no requiere altos privilegios».

Objetivo de ataque favorito
Los atacantes han utilizado durante mucho tiempo el RDP de Microsoft para intentar obtener un punto de apoyo inicial en las redes empresariales. En muchos casos, los actores de amenazas han tenido que hacer poco más que buscar dispositivos con servicios RDP expuestos a Internet para ingresar a una pink. A lo largo de los años, los corredores de acceso inicial han seleccionado una lista masiva de servidores con servicios RDP expuestos que han puesto a disposición de los operadores de ransomware y otros grupos de amenazas por una tarifa. un estudio que Redes de Palo Alto realizado el año pasado mostró que RDP representó alrededor del 30% de las exposiciones empresariales totales en la World-wide-web. Los ataques dirigidos al protocolo aumentaron drásticamente en la primavera de 2020, y en su mayoría se han mantenido así, y las organizaciones cambiaron a entornos de trabajo más remotos y distribuidos a raíz de la pandemia de COVID-19.

A lo largo de los años, RDP también ha tenido su parte de vulnerabilidades. Un ejemplo es BlueKeep (CVE-2019-0708) una ejecución de código remota crítica en RDP que los investigadores descubrieron en 2019. La falla afectó a RDP en varias versiones heredadas de Home windows, incluidos Home windows XP, Home windows 7 y Windows Server 2008. Otro ejemplo es la llamada falla RDP inversa (CVE-2019-0887), que Check out Point reveló en Black Hat Usa 2019.



Enlace a la noticia initial