Si parece que el Protocolo de Escritorio Remoto (RDP) existe desde siempre, es porque lo ha hecho, al menos en comparación con muchas tecnologías que aparecen y desaparecen en unos pocos años. La versión inicial, conocida como "Remote Desktop Protocol 4.0", fue lanzado en 1996 como parte de la edición Windows NT 4.0 Terminal Server y permitía a los usuarios acceder y controlar de forma remota computadoras basadas en Windows a través de una conexión de red.
En las décadas intermedias, RDP se ha convertido en un protocolo ampliamente utilizado para el acceso remoto y la administración de sistemas basados en Windows. RDP juega un papel crucial en la habilitación del trabajo remoto, el soporte de TI y la administración del sistema y ha servido como base para varias soluciones de infraestructura de escritorio virtual (VDI) y escritorio remoto.
La desventaja del uso generalizado de RDP es que una vulnerabilidad de ejecución remota de código (RCE) en una puerta de enlace RDP puede tener graves consecuencias, lo que podría provocar daños significativos y comprometer la seguridad y la integridad del sistema afectado. Desde el punto de vista de un atacante, explotar una vulnerabilidad RCE es una forma de lograr un acceso no autorizado al sistema afectado, lo que le permite obtener el control del sistema, eludir las medidas de seguridad y realizar acciones maliciosas que pueden incluir movimiento lateral, exfiltración de datos, malware. implementación, interrupción del sistema y más.
Es importante tener en cuenta que la gravedad del impacto dependerá de varios factores, incluida la vulnerabilidad específica, la intención y las capacidades del atacante, la importancia del sistema objetivo y las medidas de seguridad implementadas. Aún así, dado el potencial de acceso no autorizado, violaciones de datos y compromiso de los sistemas, las vulnerabilidades de RCE en RDP se consideran un problema de seguridad crítico que requiere atención y mitigación inmediatas.
Microsoft ha publicado recientemente boletines de seguridad para exactamente ese escenario. ¡Por favor parchee!
Secuestro de DLL utilizado para explotar RDP - CVE-2023-24905
Aprovechando el secuestro de la biblioteca de vínculos dinámicos (DLL), el cliente RDP puede ser comprometido cuando intenta cargar un archivo desde el directorio de trabajo actual (CWD) en lugar del directorio del sistema operativo Windows.
El investigador Dor Dali de Cyolo Security encontró y reportó un RCE (CVE-2023-24905) que proviene de cambiar una DLL por un archivo malicioso, colocarlo en una ubicación de uso compartido de acceso común y luego engañar a un usuario para que lo ejecute. Curiosamente, este exploit solo afecta a los dispositivos que ejecutan el sistema operativo Windows en procesadores avanzados de máquinas RISC (ARM).
Tanto RDP como Windows OS en ARM se usan comúnmente en sistemas de control industrial (ICS) y otros entornos de tecnología operativa (OT), lo que hace que las empresas industriales y la infraestructura crítica sean el objetivo principal de este exploit.
La vulnerabilidad en RDP podría amenazar el cumplimiento - CVE-2023-35332
En condiciones normales, el protocolo RDP Gateway crea un canal seguro principal mediante el uso de TCP y TLS v1.2, un protocolo ampliamente aceptado para la comunicación segura. Además, se establece un canal secundario sobre el protocolo de datagramas de usuario (UDP), implementando la seguridad de la capa de transporte de datagramas (DTLS) 1.0. Es importante destacar que DTLS 1.0 está obsoleto desde marzo de 2021 debido a vulnerabilidades conocidas y riesgos de seguridad.
El canal UDP secundario es preocupante, especialmente porque utiliza un protocolo con muchos problemas conocidos (DTLS 1.0). El mayor desafío es que es posible que los operadores ni siquiera sepan que no cumplen con este protocolo obsoleto. El uso de protocolos de seguridad obsoletos, como DTLS 1.0, puede conducir al incumplimiento involuntario de los estándares y regulaciones de la industria.
Para evitar las consecuencias de estas vulnerabilidades, lo mejor que puede hacer es actualizar los clientes RDP y puertas de enlace con los parches que ha lanzado Microsoft (actualizaciones CVE-2023-24905 y CVE-2023-35332). Pero, inevitablemente, habrá otros RCE en RDP, y eso significa que el siguiente paso crucial es adelantarse a los actores de amenazas mediante la implementación de controles de acceso sólidos. Debido a que RDP se usa ampliamente en entornos OT/ICS que son casi imposibles de parchear, es especialmente importante que las organizaciones que ejecutan estos sistemas encuentren herramientas de seguridad que cumplan con sus requisitos especiales con respecto a la disponibilidad de los sistemas, la seguridad operativa y más.
Fuente: THN