Ataki „Reverse RDP” umożliwiają przejmowanie kontroli nad komputerami administratorów IT

20 maja, 2020
RDP ataki

W zeszłym roku podczas Black Hat 2019 badacze z Check Point ujawnili luki w protokole RDP (Microsoft Desktop Remote Protocol). Przykładowo, jeśli pracownik działu IT spróbuje połączyć się ze zdalnym komputerem korporacyjnym, który został zainfekowany złośliwym oprogramowaniem, to złośliwe oprogramowanie będzie w stanie zaatakować również komputer pracownika IT. Badacze nazwali ten wektor ataku „Odwrotnym RDP”, a luka miała zastosowania równie podczas próby wykonania złośliwych poleceń na hoście poprzez hiperwizor Hyper-V Manager.

Badacze udowodnili, że zdalny komputer zainfekowany złośliwym oprogramowaniem może „przejąć” każdego klienta, który próbuje się z nim połączyć.

Microsoft szybko wydał łatkę dla tego wektora ataku. W październiku 2019 r. badacze Check Pointa odkryli jednak, że łatka Microsoftu (CVE-2019-0887) dla luki ujawnionej na Black Hat 2019 zawierała kolejne wady, umożliwiając odtworzenie pierwotnego exploita. W lutym 2020 roku wydano następną łatkę CVE 2020-0655. Rekomenduje się jak najszybsze wdrożenie.

Nasze odkrycie należy rozważyć na dwóch płaszczyznach. Pracownicy IT w dużych przedsiębiorstwach korzystających z systemu Windows powinni zainstalować łatkę lutową Microsoftu, CVE 2020-0655, aby upewnić się, że ich klient RDP jest chroniony przed atakiem, który zaprezentowaliśmy w BlackHat USA 2019.

Druga uwaga jest skierowana do programistów na całym świecie. Microsoft zaniedbał naprawienie luki w ich oficjalnym interfejsie API, dlatego wszystkie programy, które zostały napisane zgodnie z najlepszymi praktykami Microsoftu, nadal będą podatne na atak Path-Traversal. Chcemy, aby programiści byli świadomi tego zagrożenia, aby mogli przejrzeć swoje programy i ręcznie zastosować łatkę.

Komentarz Omri Herscovici, lidera zespołu ds. Badań nad lukami w Check Point.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]