S’il semble que le protocole RDP (Remote Desktop Protocol) existe depuis toujours, c’est parce qu’il existe (du moins par rapport aux nombreuses technologies qui montent et descendent en quelques années seulement). La version initiale, connue sous le nom de “Remote Desktop Protocol 4.0”, a été publiée en 1996 dans le cadre de l’édition Windows NT 4.0 Terminal Server et permettait aux utilisateurs d’accéder et de contrôler à distance des ordinateurs Windows via une connexion réseau.
Au cours des décennies qui ont suivi, RDP est devenu un protocole largement utilisé pour l’accès et l’administration à distance des systèmes Windows. RDP joue un rôle crucial dans le travail à distance, le support informatique et la gestion du système et a servi de base à diverses solutions de bureau à distance et d’infrastructure de bureau virtuel (VDI).
L’inconvénient de l’utilisation généralisée de RDP est qu’une vulnérabilité d’exécution de code à distance (RCE) dans une passerelle RDP peut avoir de graves conséquences, pouvant entraîner des dommages importants et compromettre la sécurité et l’intégrité du système affecté. Du point de vue d’un attaquant, l’exploitation d’une vulnérabilité RCE est un moyen d’obtenir un accès non autorisé au système affecté, lui permettant de prendre le contrôle du système, de contourner les mesures de sécurité et d’effectuer des actions malveillantes pouvant inclure un mouvement latéral, l’exfiltration de données, le déploiement de logiciels malveillants, une interruption du système, etc.
Il est important de noter que la gravité de l’impact dépendra de divers facteurs, notamment la vulnérabilité spécifique, l’intention et les capacités de l’attaquant, l’importance du système ciblé et les mesures de sécurité en place. Néanmoins, étant donné le potentiel d’accès non autorisé, de violations de données et de compromission des systèmes, les vulnérabilités RCE dans RDP sont considérées comme un problème de sécurité critique qui nécessite une attention et une atténuation immédiates.
Étonnamment (langue fermement dans la joue), Microsoft a récemment publié des bulletins de sécurité pour exactement un tel scénario. Patchez s’il vous plait !
Détournement de DLL utilisé pour exploiter RDP – CVE-2023-24905
Tirant parti du piratage de la bibliothèque de liens dynamiques (DLL), le client RDP a été compromis lorsqu’il a tenté de charger un fichier à partir du répertoire de travail actuel (CWD) au lieu du répertoire du système d’exploitation Windows.
Extrait du blog du chercheur :
“Il est devenu clair que nous pouvions usurper les ressources chargées en changeant les icônes et les chaînes dans la DLL, ce qui présenterait un vecteur d’attaque de phishing intéressant. Dans ce scénario, un attaquant pourrait manipuler les éléments visuels, tels que les icônes et les chaînes dans la DLL, pour induire l’utilisateur en erreur en effectuant certaines actions. Par exemple, en changeant les icônes et les chaînes, un attaquant pourrait faire ressembler un message d’erreur à une notification système légitime ou transformer une action dangereuse (telle que télécharger un fichier) en quelque chose d’apparemment inoffensif (comme effectuer une mise à jour logicielle).”
Le RCE provient de la modification de la chaîne DLL en un fichier malveillant, de son placement dans un emplacement de partage de fichiers couramment utilisé, puis de la ruse d’un utilisateur pour qu’il l’exécute. Fait intéressant, cet exploit n’a affecté que les appareils exécutant le système d’exploitation Windows sur des processeurs de machines RISC avancées (ARM). Les systèmes d’exploitation RDP et Windows sur ARM sont couramment utilisés dans les systèmes de contrôle industriels (ICS) et d’autres environnements de technologie opérationnelle (OT), faisant des entreprises industrielles et des infrastructures critiques une cible privilégiée de cet exploit.
La vulnérabilité de la passerelle RDP pourrait menacer la conformité – CVE-2023-35332
En fonctionnement normal, le protocole de passerelle RDP crée un canal sécurisé principal à l’aide du protocole de contrôle de transport (TCP) et de la version 1.2 de Transport Layer Security (TLS), un protocole largement accepté pour la communication sécurisée. De plus, un canal secondaire est établi sur le protocole de datagramme utilisateur (UDP), implémentant la sécurité de la couche de transport de datagramme (DTLS) 1.0. Il est important de reconnaître que DTLS 1.0 est obsolète depuis mars 2021 en raison de vulnérabilités et de risques de sécurité bien connus.
Extrait du blog du chercheur :
“Cette vulnérabilité de la passerelle RDP présente à la fois un risque de sécurité substantiel et un problème de conformité important. L’utilisation de protocoles de sécurité obsolètes et obsolètes, tels que DTLS 1.0, peut entraîner une non-conformité par inadvertance aux normes et réglementations de l’industrie.”
Le canal UDP secondaire est préoccupant, d’autant plus qu’il utilise un protocole avec de nombreux problèmes connus (DTLS 1.0). Le plus grand défi est que les opérateurs peuvent même ne pas savoir qu’ils ne sont pas conformes à ce protocole obsolète.
Conclusion
Pour éviter les conséquences de ces vulnérabilités, la meilleure chose à faire est de mettre à jour vos clients et passerelles RDP avec les correctifs publiés par Microsoft. Mais inévitablement, il y aura d’autres RCE sur RDP, ce qui signifie qu’une prochaine étape cruciale consiste à devancer les acteurs de la menace en déployant des contrôles d’accès robustes. Étant donné que RDP est largement utilisé dans les environnements OT/ICS qui sont pratiquement impossibles à corriger, il est particulièrement important que les organisations exécutant ces systèmes trouver des outils de sécurité qui répondent à leurs exigences particulières en matière de disponibilité des systèmes, de sécurité opérationnelle, etc.