La vulnerabilidad de Microsoft RDP facilita que los atacantes se conviertan en intermediarios


La vulnerabilidad de Microsoft RDP es un problema grave, pero con algunas advertencias: ha sido parcheada y los expertos dicen que es menos possible que suceda de lo que parece a primera vista.

shutterstock-510172012.jpg

Imagen: Shutterstock/BeeBright

Un recién descubierto vulnerabilidad en el protocolo de escritorio remoto de Microsoft (RDP) se remonta a Home windows Server 2012 R2 y permite que cualquiera que pueda conectarse a una sesión de RDP obtenga un control casi full sobre otros usuarios de RDP, lanzando un ataque de intermediario.

Descubierto por investigadores de seguridad en CyberArk, la vulnerabilidad ya se ha revelado a Microsoft, que a su vez ha lanzado una actualización de seguridad para solucionarlo. Deje que esa sea su primera advertencia: si su organización usa RDP, asegúrese de actualizar los sistemas afectados lo antes posible.

La vulnerabilidad ocurre debido a varios factores y «permite que cualquier usuario estándar sin privilegios conectado a una máquina remota a través de un escritorio remoto obtenga acceso al sistema de archivos de las máquinas cliente de otros usuarios conectados, para ver y modificar los datos del portapapeles de otros usuarios conectados, y para hacerse pasar por la identidad de otros usuarios conectados a la máquina usando tarjetas inteligentes», dijo el autor del informe, Gabriel Sztejnworcel.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Para explicarlo brevemente, RDP usa conexiones lógicas llamadas «tuberías» para dividir una sola conexión en varios canales virtuales. Por ejemplo, cuando un usuario se conecta a RDP, se crean diferentes conductos para manejar la salida visible, el mapeo de unidades, el portapapeles, la entrada del usuario y otros tipos de datos.

Cada una de las canalizaciones que crea un servidor RDP tiene un nombre y, según la configuración de seguridad de una canalización, se pueden crear duplicados con el mismo nombre para gestionar varias conexiones simultáneas. Todos los nombres comienzan con TSVCPIPE y van seguidos de un GUID para el servicio en specific que se genera aleatoriamente en la creación, y cada sesión united states of america la misma canalización con nombre.

Aquí radica el problema: «Resulta que el descriptor de seguridad TSVCPIPE permite a cualquier usuario crear instancias de servidor de tubería con el mismo nombre. Además, los datos se envían a través de las tuberías en texto claro y sin ningún manage de integridad», dice el informe.

Entonces, si un atacante puede conectarse a RDP, todo lo que necesita hacer es crear una canalización duplicada y esperar una nueva conexión. RDP se conecta automáticamente al servicio que se creó primero, por lo que cuando un nuevo usuario se conecta, la tubería maliciosa existente será a la que su máquina se conectará automáticamente. En ese punto, el atacante controla ambos extremos de la tubería y puede leer, pasar y modificar datos entre el cliente y el host.

En las pruebas, Sztejnworcel dijo que su equipo pudo usar la vulnerabilidad para obtener acceso a las unidades y los archivos de la víctima, así como secuestrar las tarjetas inteligentes utilizadas para iniciar sesión para hacerse pasar por los usuarios y escalar los privilegios.

¿Qué tan preocupado debería estar por su RDP vulnerable?

Chris Clements, vicepresidente de arquitectura de soluciones de la firma de seguridad cibernética Cerberus Sentinel, dijo que, si bien la vulnerabilidad es grave, se compensa con el hecho de que un atacante ya debe haber obtenido acceso al servicio RDP de una organización para iniciar el ataque.

Clements advierte que, incluso con esa advertencia, todavía hay motivo de preocupación, especialmente para las organizaciones que tienen un sistema RDP orientado a Internet que actúa como una terminal compartida con múltiples conexiones simultáneas. «Un atacante que pudo obtener acceso incluso a una cuenta con pocos privilegios podría explotar esta vulnerabilidad para pasar por toda la organización de la víctima y causar un daño significativo», dijo Clements.

Erich Kron, un defensor de la conciencia de seguridad en KnowBe4, dijo que la disaster de COVID-19 y el cambio al trabajo remoto han brindado a los malos actores muchas oportunidades nuevas para explotar esta vulnerabilidad que quizás no hayan tenido antes. Los sitios net como Shodan.io, que asigna dispositivos conectados a World-wide-web en una base de datos de búsqueda, aumentan aún más el potencial de uso indebido, dijo.

VER: Google Chrome: consejos de seguridad e interfaz de usuario que debe conocer (Quality de TechRepublic)

Vale la pena señalar que Shodan tiene usos legítimos y no es un servicio gratuito. Dicho esto, cualquiera que realmente quiera usarlo para fines nefastos probablemente no se detenga por la necesidad de desembolsar los $ 59 necesarios para un mes de acceso.

«Siempre que use RDP para el acceso remoto a su crimson, y especialmente con esta vulnerabilidad activa, las organizaciones deberían considerar hacer que los servicios RDP actuales solo estén disponibles a través de una VPN, eliminando el acceso directo a Online», dijo Kron.

Kron también recomienda lo mismo que los profesionales de la seguridad y los líderes empresariales han estado escuchando durante años: habilite la autenticación de múltiples factores, registre todos los intentos fallidos de conexión y revíselos regularmente, y capacite a los empleados en buenas prácticas de contraseñas y hábitos de seguridad.

Ver también



Enlace a la noticia primary