A Check Point detetou várias vulnerabilidades críticas no RDP – uma aplicação utilizada por centenas de profissionais de TI e investigadores de segurança em todo o mundo, que permite a conexão a computadores remotos.
As vulnerabilidades descobertas pela Check Point permitem que o ator malicioso altere a normal direção da comunicação e infete o profissional de TI ou os computadores da equipa de segurança. Este tipo de infeção pode permitir uma intrusão na rede de IT como um todo. Esta era, até ao momento, uma aplicação considerada confiável e segura.
O Remote Desktop Protocol (RDP), também conhecido por “mstsc” inspirado no cliente RDP da Microsoft, é comumente utilizado por técnicos ou pelas equipas de TI para se conectarem em computadores remotamente. O RDP é um protocolo proprietário desenvolvido pela Microsoft e é normalmente utilizado quando um utilizador se quer conectar de forma remota a um dispositivo Windows. Também existem alguns clientes RDP open-source que são utilizados, principalmente por utilizadores Linux e Mac.
O RDP tem diversas características complexas, como por exemplo a compressão de vídeo em streaming, partilha de clipboards e encriptação multicamadas. A Check Point decidiu focar-se nas vulnerabilidades do protocolo e nas suas implementações mais populares.
Num cenário normal, ao utilizar um cliente RDP a conexão é feita a um servidor RDP remoto, previamente instalado num computador remoto. Depois da conexão ter sido estabelecida com sucesso, consegue aceder-se e controlar o computador remoto, de acordo com as permissões previamente concedidas pelo utilizador. A Check Point propôs-se validar o cenário contrário e investigar se é, de facto, possível que o servidor RDP ataque e consiga controlar o computador do cliente RDP.
Dois Cenários de Ataque Possíveis
Há vários cenários de ataque comuns nos quais o cibercriminosos conseguem obter permissões alargadas na rede, através do desenvolvimento de um ataque deste género, ao mesmo tempo que entra, de forma progressiva, na rede da organização:
- Através do ataque a um membro de TI que esteja conectado a uma estação de trabalho infetada dentro de uma rede corporativa conseguindo assim obter níveis de permissão alargados e acesso aos sistemas de rede.
- Através do ataque um investigador de malware que esteja conectado a uma máquina sandbox virtual remota que contenha malware remoto. Isto permite que o malware escape da sandbox e se infiltre na rede corporativa.
Apesar da qualidade de código variar de cliente para cliente, a Check Point acredita que o RDP é um protocolo complicado e propenso a vulnerabilidades. Como demonstrou através das Provas de Conceito de teste, tanto para Microsoft como para os clientes open-source, o servidor malicioso RDP é capaz de potenciar as vulnerabilidades dos clientes RDP para conseguir o código de execução remoto do computador dos clientes.
Uma vez que a RDP é regularmente utilizada pelas equipas de TI e pelos colaboradores técnicos para se conectarem a computadores remotos, a Check Point recomenda que as empresas corrijam os seus clientes RDP. Para além disso, graças à natureza da exposição do clipboard demonstrada no caso da Microsoft, a Check Point recomenda também que os utilizadores desativem o canal de partilha do clipboard (ativo por defeito) sempre que se conectarem com um aparelho remoto.
Comentários