Các hệ thống Microsoft Windows trở lại ít nhất là Windows Server 2012 R2 bị ảnh hưởng bởi một lỗ hổng trong giao thức Dịch vụ Máy tính Từ xa cung cấp cho những kẻ tấn công, được kết nối với hệ thống từ xa thông qua RDP, một cách để giành quyền truy cập hệ thống tệp trên máy của những người dùng được kết nối khác.
Các nhà nghiên cứu từ CyberArk đã phát hiện ra những kẻ đe dọa khai thác lỗ hổng này có thể xem và sửa đổi dữ liệu khay nhớ tạm hoặc mạo danh danh tính của những người dùng khác đã đăng nhập vào máy để nâng cao đặc quyền hoặc di chuyển ngang qua mạng. Họ đã báo cáo vấn đề với Microsoft, hãng đã đưa ra bản vá cho lỗ hổng này (CVE-2022-21893) trong bản cập nhật bảo mật cho tháng Giêng vào thứ Ba tuần này.
RDP của Microsoft cho phép người dùng truy cập và điều khiển hệ thống Windows từ một máy khách từ xa gần như thể họ đang làm việc trên hệ thống cục bộ. Các tổ chức sử dụng nó vì nhiều lý do, bao gồm cho phép truy cập từ xa vào các hệ thống cho bàn trợ giúp CNTT và các dịch vụ hỗ trợ, cung cấp cho nhân viên từ xa quyền truy cập vào môi trường mô phỏng tài nguyên tại văn phòng của họ và cho phép truy cập vào các máy ảo trong môi trường đám mây.
Trong RDP, một kết nối có thể được chia thành nhiều kênh ảo. Dữ liệu trong các kênh này được chuyển tới các quy trình khác thông qua một dịch vụ Windows được gọi là “đường ống được đặt tên”. Gabriel Sztejnworcel, một kiến trúc sư phần mềm tại CyberArk, cho biết: “Các đường ống được đặt tên là một cơ chế giao tiếp giữa hai quy trình chạy trên máy Windows. Windows Remote Desktop Services sử dụng các đường ống được đặt tên để truyền dữ liệu - chẳng hạn như dữ liệu trong khay nhớ tạm và dữ liệu xác thực thẻ thông minh - giữa máy khách và hệ thống từ xa.
Lỗ hổng mà CyberArk được phát hiện được liên kết với cách các đường ống được đặt tên được tạo ra trong một số tình huống. Nhà cung cấp bảo mật nhận thấy lỗ hổng về cơ bản cho phép bất kỳ người dùng nào tạo một phiên bản máy chủ đường ống được đặt tên theo cách mà một số dữ liệu nhất định truyền giữa hệ thống máy khách và từ xa về cơ bản chảy qua các đường ống được tạo độc hại của họ. Họ phát hiện ra kẻ tấn công có thể sử dụng lỗ hổng này để thiết lập sự hiện diện của người trung gian nhằm đánh chặn dữ liệu, chẳng hạn như dữ liệu trong khay nhớ tạm của thiết bị khách được kết nối với hệ thống từ xa hoặc mã PIN của thẻ thông minh mà người dùng có thể nhập để xác thực. thiết bị khách.
Sztejnworcel cho biết các nhà nghiên cứu của CyberArk đã phát hiện ra rằng bất kỳ người dùng không có đặc quyền nào được kết nối với một máy từ xa qua RDS đều có thể khai thác lỗ hổng để chặn, xem và sửa đổi dữ liệu từ các phiên của những người dùng khác có thể được kết nối với cùng một máy từ xa. Ông nói: “Điều này có thể được tận dụng để truy cập vào hệ thống tệp của máy khách của người dùng khác và sử dụng thẻ thông minh và số PIN của người dùng khác để xác thực, mạo danh danh tính nạn nhân một cách hiệu quả. "Quan trọng nhất, điều này có thể dẫn đến leo thang đặc quyền."
Theo Sztejnworcel, lỗ hổng mà CyberArk phát hiện không quá khó để khai thác. CyberArk đã phát triển một công cụ khai thác đơn giản tạo phiên bản máy chủ đường ống của riêng nó và cho thấy cách kẻ tấn công có thể sử dụng nó để truy cập vào hệ thống tệp của nạn nhân, chặn bất cứ thứ gì nạn nhân sao chép từ hệ thống từ xa và ăn cắp mã PIN thẻ thông minh để ghi nhật ký. vào tài nguyên với tư cách là người dùng được ủy quyền.
Sztejnworcel chỉ ra một vài ví dụ trong đó một hệ thống từ xa có thể có nhiều thiết bị khách được kết nối với nó. Ông nói: Một hộp nhảy mà người dùng kết nối để truy cập mạng nội bộ là một ví dụ. Tương tự, một môi trường máy tính để bàn dựa trên phiên trong đó nhiều người dùng kết nối với cùng một máy và chạy các ứng dụng sẽ là một môi trường khác.
Ông nói: “Cũng có thể, bằng cách sử dụng các kỹ thuật xã hội đơn giản, để lừa người dùng có đặc quyền cao đăng nhập vào một máy mà kẻ tấn công đã kết nối với”. “Nó có thể là một máy chủ khác hoặc thậm chí là một máy trạm cá nhân. Bản thân máy không phải bị xâm phạm vì việc khai thác lỗ hổng không yêu cầu các đặc quyền cao ”.
Mục tiêu tấn công yêu thích
Những kẻ tấn công từ lâu đã sử dụng RDP của Microsoft để cố gắng đạt được chỗ đứng ban đầu trên các mạng doanh nghiệp. Trong nhiều trường hợp, các tác nhân đe dọa phải làm nhiều việc hơn là tìm kiếm các thiết bị có dịch vụ RDP tiếp xúc với Internet để đột nhập vào mạng. Các công ty môi giới truy cập ban đầu trong nhiều năm đã sắp xếp một danh sách khổng lồ các máy chủ có các dịch vụ RDP bị lộ mà họ đã cung cấp cho các nhà khai thác ransomware và các nhóm mối đe dọa khác với một khoản phí. Một nghiên cứu rằng Palo Alto Networks được tiến hành vào năm ngoái cho thấy RDP chiếm khoảng 30% tổng số lần hiển thị doanh nghiệp trên Web. Các cuộc tấn công nhắm mục tiêu vào giao thức leo thang mạnh mẽ vào mùa xuân năm 2020 - và hầu hết đã vẫn như vậy - với việc các tổ chức chuyển sang môi trường làm việc từ xa và phân tán hơn sau đại dịch COVID-19.
Trong những năm qua, RDP cũng đã có những chia sẻ về các lỗ hổng bảo mật. Một ví dụ là BlueKeep (CVE-2019-0708) một quá trình thực thi mã từ xa quan trọng trong RDP mà các nhà nghiên cứu đã phát hiện vào năm 2019. Lỗ hổng đã ảnh hưởng đến RDP trong nhiều phiên bản cũ của Windows bao gồm Windows XP, Windows 7 và Windows Server 2008. Một ví dụ khác là cái gọi là đảo ngược lỗ hổng RDP (CVE-2019-0887), mà Check Point đã tiết lộ tại Black Hat USA 2019.
