제퍼넷 로고

Microsoft RDP 버그로 데이터 도난, 스마트 카드 하이재킹 가능

시간

최소 Windows Server 2012 R2로 돌아가는 Microsoft Windows 시스템은 RDP를 통해 원격 시스템에 연결된 공격자가 연결된 다른 사용자의 시스템에서 파일 시스템 액세스 권한을 얻을 수 있는 방법을 제공하는 원격 데스크톱 서비스 프로토콜의 취약점에 의해 영향을 받습니다.

이 결함을 악용하는 위협 행위자는 권한을 상승시키거나 네트워크에서 측면으로 이동하기 위해 컴퓨터에 로그인한 다른 사용자의 신원을 가장하거나 클립보드 데이터를 보고 수정할 수 있다고 CyberArk의 연구원들이 최근 발견했습니다. 그들은 결함에 대한 패치를 발표한 Microsoft에 문제를 보고했습니다(CVE-2022-21893) in 이번 주 화요일 XNUMX월 보안 업데이트입니다.

Microsoft의 RDP를 사용하면 마치 로컬에서 시스템에서 작업하는 것처럼 사용자가 원격 클라이언트에서 Windows 시스템에 액세스하고 제어할 수 있습니다. 조직에서는 IT 헬프 데스크 및 지원 서비스를 위해 시스템에 원격으로 액세스할 수 있도록 하고, 원격 직원에게 사무실의 리소스를 모방한 환경에 액세스할 수 있도록 하고, 클라우드 환경에서 가상 머신에 액세스할 수 있도록 하는 등 다양한 이유로 이를 사용합니다.

RDP에서는 단일 연결을 여러 가상 채널로 나눌 수 있습니다. 이러한 채널의 데이터는 "명명된 파이프"라는 Windows 서비스를 통해 다른 프로세스로 전달됩니다. CyberArk의 소프트웨어 설계자인 Gabriel Sztejnworcel은 "명명된 파이프는 Windows 시스템에서 실행되는 두 프로세스 간의 통신을 위한 메커니즘입니다. Windows 원격 데스크톱 서비스는 명명된 파이프를 사용하여 클라이언트와 원격 시스템 간에 클립보드의 데이터 및 스마트 카드 인증 데이터와 같은 데이터를 전달합니다.

취약점 사이버아크 발견 일부 상황에서 명명된 파이프가 생성되는 방식과 관련이 있습니다. 보안 공급업체는 이 결함이 기본적으로 모든 사용자가 명명된 파이프 서버 인스턴스를 생성할 수 있도록 하여 원격 시스템과 클라이언트 시스템 사이를 이동하는 특정 데이터가 본질적으로 악의적으로 생성된 파이프를 통해 흐르도록 한다는 것을 발견했습니다. 그들은 공격자가 원격 시스템에 연결된 클라이언트 장치의 클립보드 또는 사용자가 인증을 위해 입력할 수 있는 스마트 카드 PIN과 같은 데이터를 가로채기 위해 중간자 존재를 설정하기 위해 이 결함을 사용할 수 있음을 발견했습니다. 클라이언트 장치.

Sztejnworcel은 CyberArk 연구원들이 RDS를 통해 원격 시스템에 연결된 권한이 없는 사용자가 취약점을 악용하여 동일한 원격 시스템에 연결되었을 수 있는 다른 사용자의 세션에서 데이터를 가로채고, 보고, 수정할 수 있다는 사실을 발견했다고 말했습니다. "이는 다른 사용자의 클라이언트 시스템의 파일 시스템에 액세스하고 다른 사용자의 스마트 카드 및 PIN 번호를 사용하여 인증하여 피해자의 신원을 효과적으로 가장하는 데 활용할 수 있습니다."라고 그는 말합니다. "가장 중요한 것은 이것이 권한 상승으로 이어질 수 있다는 것입니다."

Sztejnworcel에 따르면 CyberArk가 발견한 취약점은 악용하기 특별히 어렵지 않습니다. CyberArk는 자체 파이프 서버 인스턴스를 생성하고 공격자가 이를 사용하여 피해자의 파일 시스템에 액세스하고, 원격 시스템에서 피해자가 복사하여 붙여넣는 것을 가로채고, 로깅을 위해 스마트 카드 PIN을 훔치는 방법을 보여주는 간단한 익스플로잇 도구를 개발했습니다. 권한이 부여된 사용자로 리소스에

Sztejnworcel은 원격 시스템에 연결된 여러 클라이언트 장치가 있을 수 있는 몇 가지 예를 가리킵니다. 사용자가 내부 네트워크에 액세스하기 위해 연결하는 점프 박스가 한 예라고 그는 말합니다. 마찬가지로 많은 사용자가 동일한 컴퓨터에 연결하고 응용 프로그램을 실행하는 세션 기반 데스크톱 환경은 또 다른 것입니다.

"간단한 사회 공학 기술을 사용하여 높은 권한의 사용자가 공격자가 이미 연결된 컴퓨터에 로그인하도록 속일 수도 있습니다."라고 그는 말합니다. “다른 서버일 수도 있고 개인 워크스테이션일 수도 있습니다. 취약점을 악용하는 데 높은 권한이 필요하지 않기 때문에 시스템 자체는 손상될 필요가 없습니다.”

선호 공격 대상
공격자들은 오랫동안 Microsoft의 RDP를 사용하여 엔터프라이즈 네트워크에 대한 초기 발판을 마련하려고 했습니다. 많은 경우에, 위협 행위자는 네트워크에 침입하기 위해 인터넷에 노출된 RDP 서비스가 있는 장치를 검색하는 것 외에는 거의 할 일이 없습니다. 초기 액세스 브로커는 랜섬웨어 운영자 및 기타 위협 그룹에 유료로 제공하고 있는 노출된 RDP 서비스가 있는 방대한 서버 목록을 수년 동안 선별했습니다. 라는 연구 팔로 알토 네트웍스 작년에 실시된 조사에 따르면 RDP는 웹에서 전체 기업 노출의 약 30%를 차지했습니다. 프로토콜을 표적으로 하는 공격은 2020년 봄에 급격히 증가했습니다. 그렇게 남아 있었다 — COVID-19 팬데믹 이후 조직이 원격 및 분산 작업 환경으로 전환하고 있습니다.

수년에 걸쳐 RDP도 취약점이 있었습니다. 한 가지 예는 BlueKeep(CVE-2019-0708) 연구원들이 2019년에 발견한 RDP의 중요한 원격 코드 실행. 이 결함은 Windows XP, Windows 7 및 Windows Server 2008을 포함한 여러 레거시 Windows 버전의 RDP에 영향을 미쳤습니다. 역 RDP 결함 (CVE-2019-0887), Check Point가 Black Hat USA 2019에서 공개했습니다.

출처: https://www.darkreading.com/vulnerabilities-threats/rdp-bug-enables-data-theft-smartcard-hijacking

spot_img

최신 인텔리전스

spot_img