Ataki „Reverse RDP” umożliwiają przejmowanie kontroli nad komputerami administratorów IT

20 maja 2020

W zeszłym roku podczas Black Hat 2019 badacze z Check Point ujawnili luki w protokole RDP (Microsoft Desktop Remote Protocol). Przykładowo, jeśli pracownik działu IT spróbuje połączyć się ze zdalnym komputerem korporacyjnym, który został zainfekowany złośliwym oprogramowaniem, to złośliwe oprogramowanie będzie w stanie zaatakować również komputer pracownika IT. Badacze nazwali ten wektor ataku „Odwrotnym RDP”, a luka miała zastosowania równie podczas próby wykonania złośliwych poleceń na hoście poprzez hiperwizor Hyper-V Manager.

Badacze udowodnili, że zdalny komputer zainfekowany złośliwym oprogramowaniem może „przejąć” każdego klienta, który próbuje się z nim połączyć.

Microsoft szybko wydał łatkę dla tego wektora ataku. W październiku 2019 r. badacze Check Pointa odkryli jednak, że łatka Microsoftu (CVE-2019-0887) dla luki ujawnionej na Black Hat 2019 zawierała kolejne wady, umożliwiając odtworzenie pierwotnego exploita. W lutym 2020 roku wydano następną łatkę CVE 2020-0655. Rekomenduje się jak najszybsze wdrożenie.

Nasze odkrycie należy rozważyć na dwóch płaszczyznach. Pracownicy IT w dużych przedsiębiorstwach korzystających z systemu Windows powinni zainstalować łatkę lutową Microsoftu, CVE 2020-0655, aby upewnić się, że ich klient RDP jest chroniony przed atakiem, który zaprezentowaliśmy w BlackHat USA 2019.

Druga uwaga jest skierowana do programistów na całym świecie. Microsoft zaniedbał naprawienie luki w ich oficjalnym interfejsie API, dlatego wszystkie programy, które zostały napisane zgodnie z najlepszymi praktykami Microsoftu, nadal będą podatne na atak Path-Traversal. Chcemy, aby programiści byli świadomi tego zagrożenia, aby mogli przejrzeć swoje programy i ręcznie zastosować łatkę.

Komentarz Omri Herscovici, lidera zespołu ds. Badań nad lukami w Check Point.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ