En azından Windows Server 2012 R2’ye geri dönen Microsoft Windows sistemleri, Uzak Masaüstü Hizmetleri protokolünde, RDP aracılığıyla uzak bir sisteme bağlanan saldırganlara, diğer bağlı kullanıcıların makinelerinde dosya sistemi erişimi elde etmenin bir yolunu sağlayan bir güvenlik açığından etkilenir.
CyberArk araştırmacılarının yakın zamanda keşfettiği, kusurdan yararlanan tehdit aktörleri, ayrıcalıkları yükseltmek veya ağ üzerinde yanal olarak hareket etmek için pano verilerini görüntüleyebilir ve değiştirebilir veya makineye giriş yapan diğer kullanıcıların kimliklerini taklit edebilir. Sorunu, kusur için bir yama yayınlayan Microsoft’a bildirdiler (CVE-2022-21893) bu Salı Ocak ayı güvenlik güncellemesinde.
Microsoft’un RDP’si, kullanıcıların sanki sistem üzerinde yerel olarak çalışıyormuş gibi uzak bir istemciden bir Windows sistemine erişmesine ve kontrol etmesine olanak tanır. Kuruluşlar, BT yardım masası ve destek hizmetleri için sistemlere uzaktan erişim sağlamak, uzaktaki çalışanlara ofislerindeki kaynakları taklit eden bir ortama erişim sağlamak ve bulut ortamlarında sanal makinelere erişim sağlamak gibi çeşitli nedenlerle bunu kullanır.
RDP’de tek bir bağlantı birden çok sanal kanala bölünebilir. Bu kanallardaki veriler, “adlandırılmış kanallar” adı verilen bir Windows hizmeti aracılığıyla diğer işlemlere iletilir. CyberArk’ta yazılım mimarı olan Gabriel Sztejnworcel, “Adlandırılmış borular, bir Windows makinesinde çalışan iki işlem arasındaki iletişim için bir mekanizmadır” diyor. Windows Uzak Masaüstü Hizmetleri, istemci ile uzak sistem arasında panolardaki veriler ve akıllı kart kimlik doğrulama verileri gibi verileri iletmek için adlandırılmış kanallar kullanır.
güvenlik açığı CyberArk keşfedildi bazı durumlarda adlandırılmış yöneltmelerin oluşturulma şekliyle ilişkilidir. Güvenlik sağlayıcısı, kusurun temel olarak, herhangi bir kullanıcının, uzak ve istemci sistem arasında dolaşan belirli verilerin esasen kötü niyetli olarak oluşturulmuş boruları üzerinden akmasını sağlayacak şekilde adlandırılmış bir kanal sunucusu örneği oluşturmasına izin verdiğini buldu. Bir saldırganın, uzaktaki sisteme bağlı istemci cihazların panolarında veya bir kullanıcının kimlik doğrulaması için girebileceği akıllı kart PIN’lerinde olduğu gibi verileri ele geçirmek için bir ortadaki adam varlığı oluşturmak için kusuru kullanabileceğini buldular. istemci cihazı.
Sztejnworcel, CyberArk araştırmacılarının, RDS aracılığıyla uzak bir makineye bağlanan ayrıcalıksız herhangi bir kullanıcının, aynı uzak makineye bağlı olabilecek diğer kullanıcıların oturumlarındaki verileri kesmek, görüntülemek ve değiştirmek için güvenlik açığından yararlanabileceğini keşfettiğini söyledi. “Bu, diğer kullanıcıların istemci makinelerinin dosya sistemlerine erişmek ve kimlik doğrulaması yapmak için diğer kullanıcıların akıllı kartlarını ve PIN numaralarını kullanmak, kurbanın kimliğini etkin bir şekilde taklit etmek için kullanılabilir” diyor. “En önemlisi, bu ayrıcalık artışına yol açabilir.”
Sztejnworcel’e göre CyberArk’ın keşfettiği güvenlik açığından yararlanmak özellikle zor değil. CyberArk, kendi boru sunucusu örneğini oluşturan ve bir saldırganın kurbanın dosya sistemine erişmek için bunu nasıl kullanabileceğini, kurbanın uzak sistemden kopyalayıp yapıştırdıklarını ele geçirebileceğini ve günlük kaydı için akıllı kart PIN’lerini nasıl çalabileceğini gösteren basit bir istismar aracı geliştirdi. Yetkili kullanıcı olarak kaynaklara.
Sztejnworcel, uzak bir sistemin kendisine bağlı birden fazla istemci cihazının olabileceği birkaç örneğe işaret ediyor. Kullanıcıların dahili bir ağa erişmek için bağlandıkları bir atlama kutusu buna bir örnektir, diyor. Benzer şekilde, birçok kullanıcının aynı makineye bağlandığı ve uygulamaları çalıştırdığı oturum tabanlı bir masaüstü ortamı başka bir şey olacaktır.
“Basit sosyal mühendislik tekniklerini kullanarak, yüksek ayrıcalıklı kullanıcıları, saldırganın zaten bağlı olduğu bir makinede oturum açmaları için kandırmak da mümkün olabilir” diyor. “Başka bir sunucu veya hatta kişisel bir iş istasyonu olabilir. Güvenlik açığından yararlanmak yüksek ayrıcalıklar gerektirmediğinden, makinenin kendisinin tehlikeye atılması gerekmez.”
Favori Saldırı Hedefi
Saldırganlar, kurumsal ağlarda bir başlangıç noktası elde etmek için uzun süredir Microsoft’un RDP’sini kullanıyor. Çoğu durumda, tehdit aktörleri, bir ağa girmek için İnternet’e maruz kalan RDP hizmetlerine sahip cihazları aramaktan biraz daha fazlasını yapmak zorunda kalmıştır. İlk erişim komisyoncuları, yıllar içinde, fidye yazılımı operatörlerine ve diğer tehdit gruplarına bir ücret karşılığında sundukları, açıkta kalan RDP hizmetlerine sahip devasa bir sunucu listesi oluşturdular. bir çalışma Palo Alto Ağları Geçen yıl yapılan bir araştırma, RDP’nin Web’deki toplam kurumsal risklerin yaklaşık %30’unu oluşturduğunu gösterdi. Protokolü hedefleyen saldırılar, 2020 baharında keskin bir şekilde arttı ve kuruluşların COVID-19 pandemisinin ardından daha uzak ve dağıtılmış çalışma ortamlarına geçmesiyle çoğunlukla bu şekilde kaldı.
Yıllar geçtikçe, RDP de güvenlik açıklarından payını aldı. Bir örnek BlueKeep (CVE-2019-0708) araştırmacıların 2019’da keşfettiği RDP’de kritik bir uzaktan kod yürütme. Kusur, Windows XP, Windows 7 ve Windows Server 2008 dahil olmak üzere Windows’un birden çok eski sürümünde RDP’yi etkiledi. Başka bir örnek, ters RDP kusurudur (CVE-2019-0887), Check Point Black Hat USA 2019’da açıkladı.