Si parece que el Protocolo de escritorio remoto (RDP) existe desde siempre, es porque lo ha hecho (al menos en comparaci\u00f3n con las muchas tecnolog\u00edas que surgen y caen en unos pocos a\u00f1os). La versi\u00f3n inicial, conocida como “Protocolo de escritorio remoto 4.0”, se lanz\u00f3 en 1996 como parte de la edici\u00f3n Windows NT 4.0 Terminal Server y permit\u00eda a los usuarios acceder y controlar remotamente computadoras basadas en Windows a trav\u00e9s de una conexi\u00f3n de red. <\/p>\n
En las d\u00e9cadas intermedias, RDP se ha convertido en un protocolo ampliamente utilizado para el acceso remoto y la administraci\u00f3n de sistemas basados \u200b\u200ben Windows. RDP juega un papel crucial en la habilitaci\u00f3n del trabajo remoto, el soporte de TI y la administraci\u00f3n del sistema y ha servido como base para varias soluciones de infraestructura de escritorio virtual (VDI) y escritorio remoto. <\/p>\n
La desventaja del uso generalizado de RDP es que una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo (RCE) en una puerta de enlace RDP puede tener graves consecuencias, lo que puede provocar da\u00f1os significativos y comprometer la seguridad y la integridad del sistema afectado. Desde el punto de vista de un atacante, explotar una vulnerabilidad RCE es una forma de lograr un acceso no autorizado al sistema afectado, lo que le permite obtener el control del sistema, eludir las medidas de seguridad y realizar acciones maliciosas que podr\u00edan incluir movimiento lateral, exfiltraci\u00f3n de datos, implementaci\u00f3n de malware, interrupci\u00f3n del sistema y m\u00e1s.<\/p>\n
Es importante tener en cuenta que la gravedad del impacto depender\u00e1 de varios factores, incluida la vulnerabilidad espec\u00edfica, la intenci\u00f3n y las capacidades del atacante, la importancia del sistema objetivo y las medidas de seguridad implementadas. A\u00fan as\u00ed, dado el potencial de acceso no autorizado, violaciones de datos y compromiso de los sistemas, las vulnerabilidades de RCE en RDP se consideran un problema de seguridad cr\u00edtico que requiere atenci\u00f3n y mitigaci\u00f3n inmediatas. <\/p>\n
Sorprendentemente (lengua firmemente en la mejilla), Microsoft ha publicado recientemente boletines de seguridad para exactamente ese escenario. \u00a1Por favor parche!<\/p>\n
Secuestro de DLL utilizado para explotar RDP – <\/strong>CVE-2023-24905<\/a><\/h2>\nAprovechando el secuestro de la biblioteca de v\u00ednculos din\u00e1micos (DLL), el cliente RDP se vio comprometido cuando intent\u00f3 cargar un archivo desde el directorio de trabajo actual (CWD) en lugar del directorio del sistema operativo Windows. <\/p>\n
Del blog del investigador:<\/a><\/p>\n“Estaba claro que podr\u00edamos falsificar los recursos cargados cambiando los \u00edconos y las cadenas en la DLL, que presentar\u00eda un interesante vector de ataque de phishing. En este escenario, un atacante podr\u00eda manipular los elementos visuales, como los iconos y los iconos y el Strings de DLL en el Sistema Deligido de DLL, como un Sistema Dangeing Atting At The Tome Afting Afting. Mirly inofensivo (como realizar una actualizaci\u00f3n de software) “.<\/em><\/p>\nEl RCE proviene de cambiar la cadena DLL a un archivo malicioso, colocarlo en una ubicaci\u00f3n de uso compartido de archivos de acceso com\u00fan y luego enga\u00f1ar a un usuario para que lo ejecute. Curiosamente, este exploit solo afect\u00f3 a los dispositivos que ejecutan el sistema operativo Windows en procesadores avanzados de m\u00e1quinas RISC (ARM). Tanto RDP como Windows OS en ARM se usan com\u00fanmente en sistemas de control industrial (ICS) y otros entornos de tecnolog\u00eda operativa (OT), lo que hace que las empresas industriales y la infraestructura cr\u00edtica sean el objetivo principal de este exploit.<\/p>\n
La vulnerabilidad de la puerta de enlace RDP podr\u00eda amenazar el cumplimiento – <\/strong>CVE-2023-35332<\/a><\/h2>\nEn condiciones normales, el protocolo RDP Gateway crea un canal seguro principal mediante el Protocolo de control de transporte (TCP) y la Seguridad de la capa de transporte (TLS) versi\u00f3n 1.2, un protocolo ampliamente aceptado para la comunicaci\u00f3n segura. Adem\u00e1s, se establece un canal secundario sobre el protocolo de datagramas de usuario (UDP), implementando la seguridad de la capa de transporte de datagramas (DTLS) 1.0<\/em><\/strong>. Es importante reconocer que DTLS 1.0 est\u00e1 obsoleto desde marzo de 2021 debido a vulnerabilidades conocidas y riesgos de seguridad.<\/p>\nDel blog del investigador:<\/a><\/p>\n“Esta vulnerabilidad de RDP Gateway presenta tanto un riesgo de seguridad sustancial como un problema de cumplimiento significativo. El uso de protocolos de seguridad obsoletos y obsoletos, como DTLS 1.0, puede conducir al incumplimiento involuntario de los est\u00e1ndares y regulaciones de la industria”.<\/em><\/p>\nEl canal UDP secundario es preocupante, especialmente porque utiliza un protocolo con muchos problemas conocidos (DTLS 1.0). El mayor desaf\u00edo es que es posible que los operadores ni siquiera sepan que no cumplen con este protocolo obsoleto.<\/p>\n
Conclusi\u00f3n <\/strong><\/h2>\nPara evitar las consecuencias de estas vulnerabilidades, lo mejor que puede hacer es actualizar sus clientes RDP y puertas de enlace con los parches que ha lanzado Microsoft. Pero, inevitablemente, habr\u00e1 otros RCE en RDP, y eso significa que el siguiente paso crucial es adelantarse a los actores de amenazas mediante la implementaci\u00f3n de controles de acceso s\u00f3lidos. Debido a que RDP se usa ampliamente en entornos OT\/ICS que son casi imposibles de parchear, es especialmente importante que las organizaciones que ejecutan estos sistemas encontrar herramientas de seguridad<\/a> que cumplen con sus requisitos especiales en cuanto a disponibilidad de sistemas, seguridad operativa y m\u00e1s.<\/p>\n<\/p>\n
“Estaba claro que podr\u00edamos falsificar los recursos cargados cambiando los \u00edconos y las cadenas en la DLL, que presentar\u00eda un interesante vector de ataque de phishing. En este escenario, un atacante podr\u00eda manipular los elementos visuales, como los iconos y los iconos y el Strings de DLL en el Sistema Deligido de DLL, como un Sistema Dangeing Atting At The Tome Afting Afting. Mirly inofensivo (como realizar una actualizaci\u00f3n de software) “.<\/em><\/p>\n El RCE proviene de cambiar la cadena DLL a un archivo malicioso, colocarlo en una ubicaci\u00f3n de uso compartido de archivos de acceso com\u00fan y luego enga\u00f1ar a un usuario para que lo ejecute. Curiosamente, este exploit solo afect\u00f3 a los dispositivos que ejecutan el sistema operativo Windows en procesadores avanzados de m\u00e1quinas RISC (ARM). Tanto RDP como Windows OS en ARM se usan com\u00fanmente en sistemas de control industrial (ICS) y otros entornos de tecnolog\u00eda operativa (OT), lo que hace que las empresas industriales y la infraestructura cr\u00edtica sean el objetivo principal de este exploit.<\/p>\n En condiciones normales, el protocolo RDP Gateway crea un canal seguro principal mediante el Protocolo de control de transporte (TCP) y la Seguridad de la capa de transporte (TLS) versi\u00f3n 1.2, un protocolo ampliamente aceptado para la comunicaci\u00f3n segura. Adem\u00e1s, se establece un canal secundario sobre el protocolo de datagramas de usuario (UDP), implementando la seguridad de la capa de transporte de datagramas (DTLS) 1.0<\/em><\/strong>. Es importante reconocer que DTLS 1.0 est\u00e1 obsoleto desde marzo de 2021 debido a vulnerabilidades conocidas y riesgos de seguridad.<\/p>\n Del blog del investigador:<\/a><\/p>\n “Esta vulnerabilidad de RDP Gateway presenta tanto un riesgo de seguridad sustancial como un problema de cumplimiento significativo. El uso de protocolos de seguridad obsoletos y obsoletos, como DTLS 1.0, puede conducir al incumplimiento involuntario de los est\u00e1ndares y regulaciones de la industria”.<\/em><\/p>\n El canal UDP secundario es preocupante, especialmente porque utiliza un protocolo con muchos problemas conocidos (DTLS 1.0). El mayor desaf\u00edo es que es posible que los operadores ni siquiera sepan que no cumplen con este protocolo obsoleto.<\/p>\n Para evitar las consecuencias de estas vulnerabilidades, lo mejor que puede hacer es actualizar sus clientes RDP y puertas de enlace con los parches que ha lanzado Microsoft. Pero, inevitablemente, habr\u00e1 otros RCE en RDP, y eso significa que el siguiente paso crucial es adelantarse a los actores de amenazas mediante la implementaci\u00f3n de controles de acceso s\u00f3lidos. Debido a que RDP se usa ampliamente en entornos OT\/ICS que son casi imposibles de parchear, es especialmente importante que las organizaciones que ejecutan estos sistemas encontrar herramientas de seguridad<\/a> que cumplen con sus requisitos especiales en cuanto a disponibilidad de sistemas, seguridad operativa y m\u00e1s.<\/p>\n <\/p>\nLa vulnerabilidad de la puerta de enlace RDP podr\u00eda amenazar el cumplimiento – <\/strong>CVE-2023-35332<\/a><\/h2>\n
Conclusi\u00f3n <\/strong><\/h2>\n