Si parece que el Protocolo de escritorio remoto (RDP) existe desde siempre, es porque lo ha hecho (al menos en comparación con las muchas tecnologías que surgen y caen en unos pocos años). La versión inicial, conocida como «Protocolo de escritorio remoto 4.0», se lanzó en 1996 como parte de la edición Windows NT 4.0 Terminal Server y permitía a los usuarios acceder y controlar remotamente computadoras basadas en Windows a través de una conexión de red.
En las décadas intermedias, RDP se ha convertido en un protocolo ampliamente utilizado para el acceso remoto y la administración de sistemas basados en Windows. RDP juega un papel crucial en la habilitación del trabajo remoto, el soporte de TI y la administración del sistema y ha servido como base para varias soluciones de infraestructura de escritorio virtual (VDI) y escritorio remoto.
La desventaja del uso generalizado de RDP es que una vulnerabilidad de ejecución remota de código (RCE) en una puerta de enlace RDP puede tener graves consecuencias, lo que puede provocar daños significativos y comprometer la seguridad y la integridad del sistema afectado. Desde el punto de vista de un atacante, explotar una vulnerabilidad RCE es una forma de lograr un acceso no autorizado al sistema afectado, lo que le permite obtener el control del sistema, eludir las medidas de seguridad y realizar acciones maliciosas que podrían incluir movimiento lateral, exfiltración de datos, implementación de malware, interrupción del sistema y más.
Es importante tener en cuenta que la gravedad del impacto dependerá de varios factores, incluida la vulnerabilidad específica, la intención y las capacidades del atacante, la importancia del sistema objetivo y las medidas de seguridad implementadas. Aún así, dado el potencial de acceso no autorizado, violaciones de datos y compromiso de los sistemas, las vulnerabilidades de RCE en RDP se consideran un problema de seguridad crítico que requiere atención y mitigación inmediatas.
Sorprendentemente (lengua firmemente en la mejilla), Microsoft ha publicado recientemente boletines de seguridad para exactamente ese escenario. ¡Por favor parche!
Secuestro de DLL utilizado para explotar RDP – CVE-2023-24905
Aprovechando el secuestro de la biblioteca de vínculos dinámicos (DLL), el cliente RDP se vio comprometido cuando intentó cargar un archivo desde el directorio de trabajo actual (CWD) en lugar del directorio del sistema operativo Windows.
«Estaba claro que podríamos falsificar los recursos cargados cambiando los íconos y las cadenas en la DLL, que presentaría un interesante vector de ataque de phishing. En este escenario, un atacante podría manipular los elementos visuales, como los iconos y los iconos y el Strings de DLL en el Sistema Deligido de DLL, como un Sistema Dangeing Atting At The Tome Afting Afting. Mirly inofensivo (como realizar una actualización de software) «.
El RCE proviene de cambiar la cadena DLL a un archivo malicioso, colocarlo en una ubicación de uso compartido de archivos de acceso común y luego engañar a un usuario para que lo ejecute. Curiosamente, este exploit solo afectó a los dispositivos que ejecutan el sistema operativo Windows en procesadores avanzados de máquinas RISC (ARM). Tanto RDP como Windows OS en ARM se usan comúnmente en sistemas de control industrial (ICS) y otros entornos de tecnología operativa (OT), lo que hace que las empresas industriales y la infraestructura crítica sean el objetivo principal de este exploit.
La vulnerabilidad de la puerta de enlace RDP podría amenazar el cumplimiento – CVE-2023-35332
En condiciones normales, el protocolo RDP Gateway crea un canal seguro principal mediante el Protocolo de control de transporte (TCP) y la Seguridad de la capa de transporte (TLS) versión 1.2, un protocolo ampliamente aceptado para la comunicación segura. Además, se establece un canal secundario sobre el protocolo de datagramas de usuario (UDP), implementando la seguridad de la capa de transporte de datagramas (DTLS) 1.0. Es importante reconocer que DTLS 1.0 está obsoleto desde marzo de 2021 debido a vulnerabilidades conocidas y riesgos de seguridad.
«Esta vulnerabilidad de RDP Gateway presenta tanto un riesgo de seguridad sustancial como un problema de cumplimiento significativo. El uso de protocolos de seguridad obsoletos y obsoletos, como DTLS 1.0, puede conducir al incumplimiento involuntario de los estándares y regulaciones de la industria».
El canal UDP secundario es preocupante, especialmente porque utiliza un protocolo con muchos problemas conocidos (DTLS 1.0). El mayor desafío es que es posible que los operadores ni siquiera sepan que no cumplen con este protocolo obsoleto.
Conclusión
Para evitar las consecuencias de estas vulnerabilidades, lo mejor que puede hacer es actualizar sus clientes RDP y puertas de enlace con los parches que ha lanzado Microsoft. Pero, inevitablemente, habrá otros RCE en RDP, y eso significa que el siguiente paso crucial es adelantarse a los actores de amenazas mediante la implementación de controles de acceso sólidos. Debido a que RDP se usa ampliamente en entornos OT/ICS que son casi imposibles de parchear, es especialmente importante que las organizaciones que ejecutan estos sistemas encontrar herramientas de seguridad que cumplen con sus requisitos especiales en cuanto a disponibilidad de sistemas, seguridad operativa y más.