Imagen: Shutterstock/BeeBright

Una vulnerabilidad descubierta recientemente en el Protocolo de escritorio remoto (RDP) de Microsoft se remonta a Windows Server 2012 R2 y permite que cualquier persona que pueda conectarse a una sesión de RDP obtenga un control casi total sobre otros usuarios de RDP, al iniciar un intermediario. ataque.

Descubierta por investigadores de seguridad de CyberArk, la vulnerabilidad ya ha sido revelada a Microsoft, que a su vez lanzó una actualización de seguridad para solucionarla. Deje que esta sea su primera advertencia: si su organización usa RDP, asegúrese de actualizar los sistemas afectados lo antes posible.

La vulnerabilidad es causada por múltiples factores y "permite que cualquier usuario estándar sin privilegios conectado a una máquina remota a través de un escritorio remoto acceda al sistema de archivos de las máquinas cliente de otros usuarios conectados, vea y modifique datos en los portapapeles de otros usuarios registrados y para hacerse pasar por otros usuarios que iniciaron sesión en la máquina usando tarjetas inteligentes”, dijo el autor del informe, Gabriel Sztejnworcel.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Para explicarlo brevemente, RDP usa conexiones lógicas llamadas "canales" para dividir una sola conexión en múltiples canales virtuales. Por ejemplo, cuando un usuario se conecta a RDP, se crean diferentes canales para manejar la salida visual, el mapeo de unidades, el portapapeles, la entrada del usuario y otros tipos de datos.

Cada uno de los canales creados por un servidor RDP tiene un nombre y, según la configuración de seguridad de un canal, se pueden crear duplicados con el mismo nombre para manejar varias conexiones simultáneas. Todos los nombres comienzan con TSVCPIPE y van seguidos de un GUID para el servicio en particular que se genera aleatoriamente en la creación, y cada sesión usa la misma canalización con nombre.

Aquí radica el problema: “Resulta que el descriptor de seguridad TSVCPIPE permite a cualquier usuario crear instancias de servidor de tubería con el mismo nombre. Además, los datos se envían a través de las tuberías en texto claro y sin controles de integridad”, afirma el informe.

Entonces, si un atacante puede conectarse a RDP, todo lo que tiene que hacer es crear un canal duplicado y esperar una nueva conexión. RDP se conecta automáticamente al servicio que se creó primero, por lo que cuando un nuevo usuario se conecta, el canal malicioso existente será al que su máquina se conectará automáticamente. En este punto, el atacante controla ambos extremos del canal y puede leer, transmitir y modificar datos entre el cliente y el host.

Durante las pruebas, Sztejnworcel dijo que su equipo pudo usar la vulnerabilidad para obtener acceso a las unidades y los archivos de la víctima, así como secuestrar las tarjetas inteligentes utilizadas para iniciar sesión para hacerse pasar por los usuarios y aumentar los privilegios.

Índice
  • ¿Qué tan preocupado debería estar por su RDP vulnerable?
  • ¿Qué tan preocupado debería estar por su RDP vulnerable?

    Chris Clements, vicepresidente de arquitectura de soluciones de la firma de ciberseguridad Cerberus Sentinel, dijo que si bien la vulnerabilidad es grave, se compensa con el hecho de que un atacante ya debe tener acceso al servicio RDP de una organización para lanzar el ataque.

    Clements advierte que, incluso con esta advertencia, todavía hay motivo de preocupación, especialmente para las organizaciones que tienen un sistema RDP orientado a Internet que actúa como una terminal compartida con múltiples conexiones simultáneas. "Un atacante capaz de acceder incluso a una cuenta con privilegios bajos podría explotar esta vulnerabilidad para pasar por toda la organización de la víctima y causar un daño significativo", dijo Clements.

    Erich Kron, un defensor de la conciencia de seguridad en KnowBe4, dijo que la crisis de COVID-19 y el cambio al trabajo remoto ha brindado a los malos actores muchas oportunidades nuevas para explotar esta vulnerabilidad que no tenían, tal vez no antes. Los sitios web como Shodan.io, que asigna dispositivos conectados a Internet en una base de datos de búsqueda, aumentan aún más el potencial de abuso, dijo.

    VER: Google Chrome: consejos de seguridad e interfaz de usuario que debe conocer (Premium de TechRepublic)

    Cabe señalar que Shodan tiene usos legítimos y no es un servicio gratuito. Dicho esto, cualquiera que realmente quiera usarlo para fines nefastos probablemente no se detenga por la necesidad de desembolsar los $ 59 necesarios para el acceso de un mes.

    "Siempre que use RDP para el acceso remoto a su red, y especialmente con esta vulnerabilidad activa, las organizaciones deben considerar hacer que todos los servicios RDP actuales solo estén disponibles a través de VPN, eliminando el acceso directo a Internet", dijo Kron.

    Kron también recomienda las mismas cosas que los profesionales de la seguridad y los líderes empresariales han estado escuchando durante años: habilite la autenticación multifactor, registre todos los intentos fallidos de inicio de sesión y revíselos regularmente, y capacite a los empleados sobre las mejores prácticas de contraseñas y hábitos de seguridad.