W zeszłym roku podczas Black Hat 2019 badacze z Check Point ujawnili luki w protokole RDP (Microsoft Desktop Remote Protocol). Przykładowo, jeśli pracownik działu IT spróbuje połączyć się ze zdalnym komputerem korporacyjnym, który został zainfekowany złośliwym oprogramowaniem, to złośliwe oprogramowanie będzie w stanie zaatakować również komputer pracownika IT. Badacze nazwali ten wektor ataku „Odwrotnym RDP”, a luka miała zastosowania równie podczas próby wykonania złośliwych poleceń na hoście poprzez hiperwizor Hyper-V Manager.
Badacze udowodnili, że zdalny komputer zainfekowany złośliwym oprogramowaniem może „przejąć” każdego klienta, który próbuje się z nim połączyć.
Microsoft szybko wydał łatkę dla tego wektora ataku. W październiku 2019 r. badacze Check Pointa odkryli jednak, że łatka Microsoftu (CVE-2019-0887) dla luki ujawnionej na Black Hat 2019 zawierała kolejne wady, umożliwiając odtworzenie pierwotnego exploita. W lutym 2020 roku wydano następną łatkę CVE 2020-0655. Rekomenduje się jak najszybsze wdrożenie.
Nasze odkrycie należy rozważyć na dwóch płaszczyznach. Pracownicy IT w dużych przedsiębiorstwach korzystających z systemu Windows powinni zainstalować łatkę lutową Microsoftu, CVE 2020-0655, aby upewnić się, że ich klient RDP jest chroniony przed atakiem, który zaprezentowaliśmy w BlackHat USA 2019.
Druga uwaga jest skierowana do programistów na całym świecie. Microsoft zaniedbał naprawienie luki w ich oficjalnym interfejsie API, dlatego wszystkie programy, które zostały napisane zgodnie z najlepszymi praktykami Microsoftu, nadal będą podatne na atak Path-Traversal. Chcemy, aby programiści byli świadomi tego zagrożenia, aby mogli przejrzeć swoje programy i ręcznie zastosować łatkę.
Komentarz Omri Herscovici, lidera zespołu ds. Badań nad lukami w Check Point.
