Image default
Vulnerabilidades

Falha no RDP permite que servidores maliciosos controlem máquina do usuário

As pessoas já estão mais do que avisadas para não disponibilizar o acesso remoto ao seu computador para pessoas não confiáveis, por muitas razões. É uma dica básica sobre segurança digital e bom senso, certo?

E se a dica for o inverso? Ou seja, que você não deve aceitar convites de pessoas desconhecidas pedindo que se conecte em um servidor via client de desktop remoto (RDP)?

Pesquisadores de segurança da Check Point descobriram mais de 24 vulnerabilidades em clientes RDP de código aberto e no proprietário que é fornecido pela Microsoft em seus sistemas operacionais. Essas vulnerabilidades permitem que um servidor RDP malicioso comprometa um computador cliente, em vez do contrário.

O protocolo RDP

O RDP, ou Remote Desktop Protocol, permite que os usuários se conectem em computadores/servidores remotos. O protocolo geralmente é utilizado por usuários técnicos e administradores de sistemas/analistas de suporte para se conectarem remotamente em sistemas operacionais que possuem o RDP como protocolo de desktop remoto. O sistema operacional mais utilizado nesse caso é o Windows, da Microsoft.

O RDP foi inicialmente desenvolvido pela Microsoft para o Windows, mas existem vários clientes de código aberto para o RDP que possuem suporte para Linux e Unix.

As vulnerabilidades

Pesquisadores da Check Point conduziram recentemente uma análise detalhada em três clientes RDP populares e mais utilizados – FreeRDP, rdesktop e o cliente RDP integrado no Windows – i identificaram um total de 25 falhas de segurança, algumas das quais podem até permitir que um servidor RDP malicioso controle remotamente os computadores que o estiverem acessando por meio de um cliente RDP.

FreeRDP

E um dos clientes RDP mais populares e maduros no mundo opensource, possui cerca de seis vulnerabilidades, cinco das quais são problemas de corrupção de memória que podem até resultar em execução remota de código no computador que possui o cliente RDP.

rdesktop

É um antigo cliente RDP de código aberto que vem por padrão nas distribuições Kali Linux (e em outras também), foi considerado o cliente RDP mais vulnerável, com um total de 19 vulnerabilidades, 11 das quais podem permitir que um servidor malicioso execute código arbritrário no computador do cliente.

Área de Trabalho Remota do Windows

Embora não contenha nenhuma falha de execução remota de código, os pesquisadores descobriram alguns cenários interessantes que são possíveis devido o cliente e servidor compartilharem dados da área de transferência, permitindo que o cliente acesse e modifique dados da área de transferência no servidor o vice-versa.

Um servidor RDP malicioso pode espionar a área de transferência do cliente (isso é um recurso, não um erro). Por exemplo, quando o cliente copia localmente uma senha de administrador, agora o servidor também a terá.

Pesquisadores da Check Point

Essa modificação de qualquer conteúdo da área de transferência utilizado pelo cliente pode ocorrer mesmo que ele, por exemplo, não pressione as teclas CTRL + C ou alguma outra ação de copiar dentro de uma janela RDP. Se você clicar em colar quando uma conexão RDP estiver ativa, estará vulnerável a esse tipo de ataque.

Em outro video, pesquisadores demonstraram como o ataque à área de transferência utilizando o software cliente da Microsoft pode até permitir que um servidor RDP malicioso engane o sistema do cliente para salvar um arquivo de malware no diretório de inicialização do Windows, de forma a ser executado automaticamente sempre que o sistema for inicializado.

Estas vulnerabilidades foram relatadas aos desenvolvedores das ferramentas RDP clientes impactadas em outubro de 2018.

O FreeRDP corrigiu as falhas como parte de sua versão 2.0.0-rc4, disponibilizando-a no Github menos de um mês após ser notificado.

O Rdesktop corrigiu as como parte de sua versão v1.8.4 e lançou a correção em meados de janeiro.

A Microsoft reconheceu as descobertas dos pesquisadores, mas decidiu não abordar os problemas. A empresa disse: “Determinamos que sua descoberta é valida, nas não nos atende. Para obter maiores informações, consulte Microsoft Security Servicing Criteria for Windows (https://aka.ms/windowscriteria).”

No entanto, os usuários do Área de Trabalho Remota do Windows podem ser proteger contra os ataques simplesmente desabilitando o recurso de compartilhamento da área de transferência, que vem habilitado por padrão ao se conectar em uma máquina remota.

No entanto, os usuários do Área de Trabalho Remota do Windows podem ser proteger contra os ataques simplesmente desabilitando o recurso de compartilhamento da área de transferência, que vem habilitado por padrão ao se conectar em uma máquina remota.

Fonte:

https://thehackernews.com/2019/02/remote-desktop-hacking.html

Posts similares

Mais de 80 produtos da Cisco são afetados pelo bug de DoS FragmentSmack

O Analista

Bluetooth: Nova falha no padrão permite a monitoração do tráfego de dados

O Analista

Vulnerabilidade no webserver GoAhead afeta milhares de dispositivos IoT

O Analista