تتأثر أنظمة Microsoft Windows التي تعود إلى Windows Server 2012 R2 على الأقل بثغرة أمنية في بروتوكول Remote Desktop Services الذي يمنح المهاجمين ، المتصلين بنظام بعيد عبر RDP ، طريقة للوصول إلى نظام الملفات على أجهزة المستخدمين الآخرين المتصلين.
اكتشف باحثون من CyberArk مؤخرًا أنه يمكن لممثلي التهديد الذين يستغلون الخلل عرض بيانات الحافظة وتعديلها أو انتحال هويات المستخدمين الآخرين الذين قاموا بتسجيل الدخول إلى الجهاز من أجل تصعيد الامتيازات أو التحرك بشكل جانبي على الشبكة. لقد أبلغوا Microsoft بالمشكلة ، والتي أصدرت تصحيحًا للعيب (CVE-2022-21893) في التحديث الأمني لشهر يناير هذا الثلاثاء.
يسمح RDP من Microsoft للمستخدمين بالوصول إلى نظام Windows والتحكم فيه من عميل بعيد كما لو كانوا يعملون على النظام محليًا. تستخدمه المؤسسات لعدة أسباب ، بما في ذلك تمكين الوصول عن بُعد إلى أنظمة مكتب مساعدة تكنولوجيا المعلومات وخدمات الدعم ، وتزويد الموظفين عن بُعد بإمكانية الوصول إلى بيئة تحاكي الموارد في مكاتبهم ، وتمكين الوصول إلى الأجهزة الافتراضية في بيئات السحابة.
في RDP ، يمكن تقسيم اتصال واحد إلى قنوات افتراضية متعددة. يتم تمرير البيانات الموجودة في هذه القنوات إلى عمليات أخرى عبر خدمة Windows تسمى "الأنابيب المسماة". يقول Gabriel Sztejnworcel ، مهندس برمجيات في CyberArk: "الأنابيب المسماة هي آلية للاتصال بين عمليتين تعملان على جهاز Windows". تستخدم خدمات سطح المكتب البعيد من Windows توجيهات مسماة لتمرير البيانات - مثل البيانات الموجودة في الحافظة ، وبيانات مصادقة البطاقة الذكية - بين العميل والنظام البعيد.
الضعف الذي اكتشف CyberArk يرتبط بطريقة إنشاء الأنابيب المسماة في بعض المواقف. اكتشف مورد الأمان أن الخلل يسمح بشكل أساسي لأي مستخدم بإنشاء مثيل خادم أنابيب مسمى بطريقة تتدفق فيها بيانات معينة تنتقل بين النظام البعيد ونظام العميل بشكل أساسي عبر الأنابيب التي تم إنشاؤها بشكل ضار. وجدوا أن المهاجم يمكنه استخدام الخلل لإنشاء وجود رجل في الوسط لاعتراض البيانات مثل تلك الموجودة في حافظة أجهزة العميل المتصلة بالنظام البعيد ، أو أرقام التعريف الشخصية للبطاقة الذكية التي قد يدخلها المستخدم للمصادقة عليها جهاز العميل.
يقول Sztejnworcel إن باحثي CyberArk اكتشفوا أن أي مستخدم غير متمتع متصل بجهاز بعيد عبر RDS يمكنه استغلال الثغرة الأمنية لاعتراض البيانات وعرضها وتعديلها من جلسات المستخدمين الآخرين الذين قد يكونون متصلين بنفس الجهاز البعيد. يقول: "يمكن الاستفادة من ذلك للوصول إلى أنظمة الملفات الخاصة بأجهزة عملاء المستخدمين الآخرين واستخدام البطاقات الذكية وأرقام PIN للمستخدمين الآخرين للمصادقة ، وانتحال هوية الضحية بشكل فعال". "الأهم من ذلك ، قد يؤدي هذا إلى تصعيد الامتيازات."
وفقًا لـ Sztejnworcel ، ليس من الصعب استغلال الثغرة الأمنية التي اكتشفها CyberArk. طورت CyberArk أداة استغلال بسيطة تنشئ مثيل خادم الأنابيب الخاص بها وأظهرت كيف يمكن للمهاجم استخدامه للوصول إلى نظام الملفات الخاص بالضحية ، واعتراض أي شيء يقوم بنسخه الضحية من النظام البعيد ، وسرقة أرقام التعريف الشخصية للبطاقة الذكية للتسجيل إلى الموارد كمستخدم مرخص.
يشير Sztejnworcel إلى بضعة أمثلة حيث قد يكون للنظام البعيد أجهزة عميلة متعددة متصلة به. ويقول إن صندوق الانتقال الذي يتصل به المستخدمون للوصول إلى شبكة داخلية هو أحد الأمثلة. وبالمثل ، فإن بيئة سطح المكتب المستندة إلى الجلسة حيث يتصل العديد من المستخدمين بنفس الجهاز ويقومون بتشغيل التطبيقات ستكون بيئة أخرى.
يقول: "قد يكون من الممكن أيضًا ، باستخدام تقنيات الهندسة الاجتماعية البسيطة ، خداع المستخدمين ذوي الامتيازات العالية لتسجيل الدخول إلى جهاز متصل به المهاجم بالفعل". "يمكن أن يكون خادمًا آخر أو حتى محطة عمل شخصية. لا يجب اختراق الجهاز نفسه لأن استغلال الثغرة الأمنية لا يتطلب امتيازات عالية ".
هدف الهجوم المفضل
لطالما استخدم المهاجمون برنامج RDP من Microsoft لمحاولة الحصول على موطئ قدم أولي على شبكات المؤسسات. في كثير من الحالات ، كان على الجهات الفاعلة في التهديد أن تفعل أكثر من مجرد البحث عن الأجهزة مع خدمات RDP المعرضة للإنترنت من أجل اقتحام الشبكة. قام وسطاء الوصول الأولي على مر السنين برعاية قائمة ضخمة من الخوادم مع خدمات RDP المكشوفة التي قاموا بإتاحتها لمشغلي برامج الفدية ومجموعات التهديد الأخرى مقابل رسوم. دراسة ذلك بالو ألتو شبكات أظهر العام الماضي أن RDP يمثل حوالي 30٪ من إجمالي تعرض المؤسسة على الويب. تصاعدت الهجمات التي تستهدف البروتوكول بشكل حاد في ربيع عام 2020 - وفي الغالب بقيت على هذا النحو - مع تحول المنظمات إلى بيئات عمل أكثر بُعدًا وتوزيعًا في أعقاب جائحة COVID-19.
على مر السنين ، كان لـ RDP نصيبه من نقاط الضعف أيضًا. أحد الأمثلة على ذلك هو BlueKeep (CVE-2019-0708) تنفيذ مهم للتعليمات البرمجية عن بُعد في RDP اكتشفه الباحثون في عام 2019. أثر الخلل على RDP في العديد من الإصدارات القديمة من Windows بما في ذلك Windows XP و Windows 7 و Windows Server 2008. مثال آخر هو ما يسمى عيب RDP العكسي (CVE-2019-0887) ، والتي تم الكشف عنها في برنامج Black Hat USA 2019.
