Microsofts RDP-sårbarhet är ett allvarligt problem, men med några varningar: Det har åtgärdats och experter säger att det kan vara mindre sannolikt att det händer än vad det verkar vid första anblicken.
Bild: Shutterstock/BeeBrightEn nyligen upptäckt sårbarhet i Microsofts fjärrskrivbordsprotokoll (RDP) går tillbaka till Windows Server 2012 R2 och låter alla som kan ansluta till en RDP-session få nästan total kontroll över andra RDP-användare, och starta en man-in-the-middle-attack.
Måste läsa säkerhetstäckning
Sårbarheten upptäcktes av säkerhetsforskare på CyberArk och har redan avslöjats för Microsoft, som i sin tur har släppt en säkerhetsuppdatering för att åtgärda det. Låt det vara din första varning: Om din organisation använder RDP, se till att du uppdaterar berörda system så snart som möjligt.
Sårbarheten uppstår på grund av flera faktorer och “gör det möjligt för alla oprivilegierade standardanvändare som är anslutna till en fjärrdator via fjärrskrivbord att få filsystemåtkomst till andra anslutna användares klientdatorer, att se och ändra urklippsdata för andra anslutna användare, och att imitera identiteten för andra användare som är inloggade på maskinen med hjälp av smarta kort”, säger rapportens författare, Gabriel Sztejnworcel.
SER: Lösenordsintrång: Varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
För att kort förklara använder RDP logiska anslutningar som kallas “pipes” för att dela upp en enda anslutning i olika virtuella kanaler. Till exempel, när en användare ansluter till RDP skapas olika rör för att hantera visuell utdata, enhetsmappning, urklipp, användarinmatning och andra typer av data.
Var och en av de rör som en RDP-server skapar namnges, och beroende på säkerhetsinställningarna för ett rör kan dubbletter med samma namn skapas för att hantera flera samtidiga anslutningar. Alla namn börjar med TSVCPIPE och följs av en GUID för den specifika tjänsten som genereras slumpmässigt vid skapandet, och varje session använder samma namngivna pipe.
Häri ligger problemet: “Det visar sig att säkerhetsdeskriptorn TSVCPIPE tillåter alla användare att skapa pipeserverinstanser med samma namn. Dessutom skickas uppgifterna över rören i klartext och utan några integritetskontroller, heter det i rapporten.
Så om en angripare kan ansluta till RDP behöver de bara skapa en dubblettpipa och vänta på en ny anslutning. RDP ansluter automatiskt till tjänsten som skapades först, så när en ny användare ansluter kommer den befintliga skadliga pipen att vara den som deras maskin automatiskt ansluter till. Vid den tidpunkten kontrollerar angriparen båda ändarna av röret och kan läsa, skicka och ändra data mellan klienten och värden.
I tester sa Sztejnworcel att hans team kunde använda sårbarheten för att få tillgång till ett offers enheter och filer, samt att kapa smartkort som används för inloggning för att imitera användare och eskalera privilegier.
Hur orolig ska du vara för din sårbara RDP?
Chris Clements, VP för lösningsarkitektur på cybersäkerhetsföretaget Cerberus Sentinel, sa att även om sårbarheten är allvarlig, så kompenseras den av det faktum att en angripare redan måste ha fått tillgång till en organisations RDP-tjänst för att initiera attacken.
Clements varnar för att det, även med den varningen, fortfarande finns anledning till oro, särskilt för organisationer som har ett internetvänt RDP-system som fungerar som en delad terminal med flera samtidiga anslutningar. “En angripare som kunde få tillgång till även ett lågprivilegierat konto kan utnyttja denna sårbarhet för att svänga runt i offrets organisation och orsaka betydande skada”, sa Clements.
Erich Kron, en förespråkare för säkerhetsmedvetenhet på KnowBe4, sa att covid-19-krisen och övergången till distansarbete har gett dåliga aktörer många nya möjligheter att utnyttja denna sårbarhet som de kanske inte har haft tidigare. Webbplatser som Shodan.io, som kartlägger internetanslutna enheter till en sökbar databas, gör risken för missbruk ännu högre, sa han.
SER: Google Chrome: Säkerhets- och användargränssnittstips du behöver veta (TechRepublic Premium)
Det är värt att notera att Shodan har legitim användning, och det är inte en gratis tjänst. Som sagt, alla som verkligen vill använda det för skändliga syften stoppas förmodligen inte av behovet att punga över de $59 som behövs för en månads åtkomst.
“När de använder RDP för fjärråtkomst till sitt nätverk, och speciellt med denna sårbarhet aktiv, bör organisationer överväga att göra alla nuvarande RDP-tjänster endast tillgängliga via ett VPN, vilket tar bort direktåtkomst till internet,” sa Kron.
Kron rekommenderar också samma saker som säkerhetspersonal och företagsledare har hört i åratal: Aktivera multifaktorautentisering, logga alla misslyckade anslutningsförsök och granska dem regelbundet och utbilda anställda i goda lösenordspraxis och säkerhetsvanor.
