Los clientes RDP expuestos a múltiples vulnerabilidades lo que permite a un atacante revertir la dirección habitual de la comunicación y conectarse al cliente desde el servidor.
Los investigadores de seguridad de Check Point descubrieron 16 vulnerabilidades principales y en total se detectaron 25 vulnerabilidades de seguridad en general. Al explotar las vulnerabilidades de ejecución remota de código y corrupción de memoria, un atacante podría conectarse de nuevo a la computadora cliente desde el servidor, los investigadores lo llamaron un ataque RDP inverso.
Cliente RDP desarrollado por Microsoft y es ampliamente utilizado por usuarios de usuarios de números y profesionales de TI. Además, hay algunas herramientas de código abierto para conectar máquinas Mac y Linux.
Los investigadores comenzaron a probar con los clientes de código abierto RDP
- FreeRDP (Open Source RDP) Corrupción de memoria y ejecución remota de código
- rdesktop (Open Source RDP) Corrupción de memoria y ejecuciones remotas de código
- mstsc.exe (incorporado de Microsoft) Travesía de la ruta del cliente RDP
Estas vulnerabilidades permiten a un atacante obtener acceso al sistema en la red corporativa y usar el acceso para avanzar más el movimiento dentro de una organización. A continuación se presentan los escenarios comunes descritos por los investigadores.
Atacar a un miembro de TI que se conecta a una estación de trabajo infectada dentro de la red corporativa, obteniendo mayores niveles de permisos y un mayor acceso a los sistemas de red.
Agresorun investigador de malware que se conecta a una máquina virtual de espacio aislado que contiene un malware probado. Esto permite que el malware escape de la caja de arena y se infiltre en la red corporativa.
Al analizar rdesktop v1.8.3, los investigadores del punto de control encuentran 19 vulnerabilidades en total y 11 de ellas son críticas. Al combinar múltiples vulnerabilidades en diferentes canales lógicos, se produce una vulnerabilidad de ejecución remota de código.
Los investigadores analizaron otro cliente RDP de código abierto FreeRDP v2.0.0-rc3 y encontraron 6 vulnerabilidades, de las 5 son vulnerabilidades críticas. Free RDP también comparte las vulnerabilidades similares de rdesktop.
"Un reconocimiento adicional demostró que el cliente RDP NeutrinoRDP es una bifurcación de una versión anterior (1.0.1) de" FreeRDP "y, por lo tanto, probablemente tenga las mismas vulnerabilidades".
El siguiente cliente RDP analizado por los investigadores es Mstsc.exe, el cliente RDP de Microsoft, Build 18252.rs . Los investigadores probaron todas las PoC del cliente de código abierto con el cliente RDP de Microsoft y no hay ningún fallo, se cierra de forma segura.
“Nos dimos cuenta de que la implementación de Microsoft es mucho mejor que las implementaciones que probamos anteriormente. Parece que el código de Microsoft es mejor en varios órdenes de magnitud ".
Pero el cliente de Microsoft RDP se encontró vulnerable a los ataques de paso de ruta, que pueden ser manipulados por los atacantes mientras usan las funciones del portapapeles.
Vulnerabilidad de la trayectoria del camino
Cuando el cliente tenía una conexión RDP con un servidor malintencionado y si utiliza Copiar y Pegar, el servidor malintencionado puede colocar archivos arbitrarios en ubicaciones de archivos arbitrarios en la computadora del cliente.
Aquí está el PoC del video publicado por Checkpoint, "simplemente eliminamos rdpclip.exe, y creamos nuestro propio proceso para realizar el ataque de la ruta al agregar un archivo malicioso adicional a cada operación de" Copiar y Pegar ". El ataque se realizó con permisos de "usuario" y no requiere que el atacante tenga "sistema" ni ningún otro permiso elevado ".
Todas estas vulnerabilidades han sido reportadas por Checkpoint a los proveedores y los parches han sido confirmados por los proveedores.
“Durante nuestra investigación, encontramos numerosas vulnerabilidades críticas en los clientes de RDP probados. "Aunque la calidad del código de los diferentes clientes varía, como puede verse en la distribución de las vulnerabilidades que encontramos, argumentamos que el protocolo de escritorio remoto es complicado y es propenso a las vulnerabilidades", concluyeron los investigadores.
Apéndice A - CVE encontrados en rdesktop:
- CVE 2018-8791: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen una función de Lectura fuera de límites rdpdr_process () que resulta en una fuga de información.
- CVE 2018-8792: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen una función de Lectura fuera de límites cssp_read_tsrequest () que resulta en una denegación de servicio (segfault).
- CVE 2018-8793: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen un Desbordamiento de búfer basado en Heap en la función cssp_read_tsrequest () que produce una corrupción de memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-8794: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen un Desbordamiento de Integer que conduce a una Escritura fuera de límites en la función process_bitmap_updates () y produce una corrupción de memoria y posiblemente incluso una ejecución remota de código.
- CVE 2018-8795: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen un Desbordamiento de Integer que conduce a un Desbordamiento de Buffer Basado en Heap en la función process_bitmap_updates () y resulta en una corrupción de memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-8796: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen una función de Lectura fuera de límites en el proceso proceso_bitmap_updates () que resulta en una denegación de servicio (segfault).
- CVE 2018-8797: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen un Desbordamiento de búfer basado en Heap en la función process_plane () que produce una corrupción de memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-8798: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen una función de lectura fuera de límites en rdpsnd_process_ping () que produce una fuga de información.
- CVE 2018-8799: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen una función de Lectura fuera de límites en el proceso proceso_segundo () que resulta en una denegación de servicio (segfault).
- CVE 2018-8800: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen un Desbordamiento de búfer basado en Heap en la función ui_clip_handle_data () que produce una corrupción de memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-20174: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen una Lectura fuera de límites en la función ui_clip_handle_data () que resulta en una fuga de información.
- CVE 2018-20175: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen varios errores de firma de enteros que conducen a lecturas fuera de límites en el archivo mcs.c y dan como resultado una denegación de servicio (segfault).
- CVE 2018-20176: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen varias lecturas fuera de límites en el archivo secure.c que resultan en una denegación de servicio (segfault).
- CVE 2018-20177: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen un Desbordamiento de Integer que conduce a un Desbordamiento de Buffer Basado en Heap en la función rdp_in_unistr () y resulta en una corrupción de memoria y posiblemente incluso una ejecución remota de código.
- CVE 2018-20178: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen una función de Lectura fuera de límites en el proceso processdemand_active () que resulta en una denegación de servicio (segfault).
- CVE 2018-20179: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen un flujo de flujo integral que conduce a un desbordamiento de búfer basado en Heap en la función lspci_process () y da como resultado una corrupción de memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-20180: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen un flujo de flujo integral que conduce a un desbordamiento de búfer basado en Heap en la función rdpsnddbg_process () y da como resultado una corrupción de memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-20181: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen un flujo de flujo integral que conduce a un desbordamiento de búfer basado en Heap en la función seamless_process () y produce una corrupción de memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-20182: las versiones de rdesktop hasta e incluyendo v1.8.3 contienen un Desbordamiento de búfer sobre las variables globales en la función seamless_process_line () que produce una corrupción de memoria y probablemente incluso una ejecución remota de código.
Apéndice B CVE encontrados en FreeRDP
- CVE 2018-8784: FreeRDP anterior a la versión 2.0.0-rc4 contiene un Desbordamiento de búfer basado en Heap en la función zgfx_decompress_segment () que produce una corrupción de memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-8785: FreeRDP anterior a la versión 2.0.0-rc4 contiene un Desbordamiento de búfer basado en Heap en la función zgfx_decompress () que produce un daño en la memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-8786: FreeRDP anterior a la versión 2.0.0-rc4 contiene un Truncamiento de entero que conduce a un Desbordamiento de búfer basado en Heap en la función update_read_bitmap_update () y resulta en una corrupción de memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-8787: FreeRDP anterior a la versión 2.0.0-rc4 contiene un Desbordamiento de entero que conduce a un Desbordamiento de búfer basado en Heap en la función gdi_Bitmap_Decompress () y da como resultado un daño en la memoria y probablemente incluso una ejecución remota de código.
- CVE 2018-8788: FreeRDP anterior a la versión 2.0.0-rc4 contiene una Escritura de fuera de límites de hasta 4 bytes en la función nsc_rle_decode () que resulta en un daño de memoria y posiblemente incluso una ejecución remota de código.
- CVE 2018-8789: FreeRDP anterior a la versión 2.0.0-rc4 contiene varias lecturas fuera de límites en el módulo de autenticación NTLM que resulta en una denegación de servicio (segfault).
