TecTop
La vulnerabilidad de Microsoft RDP es un problema grave, pero con algunas advertencias: ha sido reparada y los expertos dicen que es menos probable que suceda de lo que parece a primera vista.
Un recién descubierto vulnerabilidad en el protocolo de escritorio remoto de Microsoft (RDP) se remonta a Windows Server 2012 R2 y permite que cualquier persona que pueda conectarse a una sesión de RDP obtenga un control casi total sobre otros usuarios de RDP, lanzando un ataque de intermediario.
Descubierto por investigadores de seguridad en CyberArk, la vulnerabilidad ya se ha revelado a Microsoft, que a su vez ha lanzado una actualización de seguridad para solucionarlo. Deje que esa sea su primera advertencia: si su organización usa RDP, asegúrese de actualizar los sistemas afectados lo antes posible.
La vulnerabilidad ocurre debido a varios factores y “permite que cualquier usuario estándar sin privilegios conectado a una máquina remota a través de un escritorio remoto obtenga acceso al sistema de archivos de las máquinas cliente de otros usuarios conectados, para ver y modificar los datos del portapapeles de otros usuarios conectados, y para hacerse pasar por la identidad de otros usuarios conectados a la máquina usando tarjetas inteligentes”, dijo el autor del informe, Gabriel Sztejnworcel.
VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)
Para explicarlo brevemente, RDP usa conexiones lógicas llamadas «tuberías» para dividir una sola conexión en varios canales virtuales. Por ejemplo, cuando un usuario se conecta a RDP, se crean diferentes conductos para manejar la salida visual, el mapeo de unidades, el portapapeles, la entrada del usuario y otros tipos de datos.
Cada una de las canalizaciones que crea un servidor RDP tiene un nombre y, según la configuración de seguridad de una canalización, se pueden crear duplicados con el mismo nombre para gestionar varias conexiones simultáneas. Todos los nombres comienzan con TSVCPIPE y van seguidos de un GUID para el servicio en particular que se genera aleatoriamente en la creación, y cada sesión usa la misma canalización con nombre.
Aquí radica el problema: “Resulta que el descriptor de seguridad TSVCPIPE permite a cualquier usuario crear instancias de servidor de tubería con el mismo nombre. Además, los datos se envían a través de las tuberías en texto claro y sin controles de integridad”, dice el informe.
Entonces, si un atacante puede conectarse a RDP, todo lo que necesita hacer es crear una canalización duplicada y esperar una nueva conexión. RDP se conecta automáticamente al servicio que se creó primero, por lo que cuando un nuevo usuario se conecta, la tubería maliciosa existente será a la que su máquina se conectará automáticamente. En ese punto, el atacante controla ambos extremos de la tubería y puede leer, pasar y modificar datos entre el cliente y el host.
En las pruebas, Sztejnworcel dijo que su equipo pudo usar la vulnerabilidad para obtener acceso a las unidades y los archivos de la víctima, así como secuestrar las tarjetas inteligentes utilizadas para iniciar sesión para hacerse pasar por los usuarios y escalar los privilegios.
¿Qué tan preocupado debería estar por su RDP vulnerable?
Chris Clements, vicepresidente de arquitectura de soluciones de la firma de seguridad cibernética Cerberus Sentinel, dijo que, si bien la vulnerabilidad es grave, se compensa con el hecho de que un atacante ya debe haber obtenido acceso al servicio RDP de una organización para iniciar el ataque.
Clements advierte que, incluso con esa advertencia, todavía hay motivo de preocupación, especialmente para las organizaciones que tienen un sistema RDP orientado a Internet que actúa como una terminal compartida con múltiples conexiones simultáneas. “Un atacante que pudiera obtener acceso incluso a una cuenta con pocos privilegios podría explotar esta vulnerabilidad para pasar por toda la organización de la víctima y causar un daño significativo”, dijo Clements.
Erich Kron, un defensor de la conciencia de seguridad en KnowBe4, dijo que la crisis de COVID-19 y el cambio al trabajo remoto han brindado a los malos actores muchas oportunidades nuevas para explotar esta vulnerabilidad que quizás no hayan tenido antes. Los sitios web como Shodan.io, que asigna dispositivos conectados a Internet en una base de datos de búsqueda, aumentan aún más el potencial de uso indebido, dijo.
VER: Google Chrome: consejos de seguridad e interfaz de usuario que debe conocer (Premium de TechRepublic)
Vale la pena señalar que Shodan tiene usos legítimos y no es un servicio gratuito. Dicho esto, cualquiera que realmente quiera usarlo para fines nefastos probablemente no se detenga por la necesidad de desembolsar los $ 59 necesarios para un mes de acceso.
“Siempre que use RDP para el acceso remoto a su red, y especialmente con esta vulnerabilidad activa, las organizaciones deben considerar hacer que los servicios RDP actuales solo estén disponibles a través de una VPN, eliminando el acceso directo a Internet”, dijo Kron.
Kron también recomienda lo mismo que los profesionales de la seguridad y los líderes empresariales han estado escuchando durante años: habilite la autenticación de múltiples factores, registre todos los intentos fallidos de conexión y revíselos regularmente, y capacite a los empleados en buenas prácticas de contraseñas y hábitos de seguridad.
