Vulnerabilitate exploatabilă în serviciul RDP Windows
https://threatpost.com
Mai multe versiuni Windows sunt expuse riscului de a fi compromise de la distanță prin intermediul serviciului Remote Desktop Protocol.
În cadrul serviciului RDP a fost identificată o vulnerabilitate care poate permite unei persoane rău-intenționate, fără privilegii, să acceseze sistemele utilizatorilor conectați. Conform analizei efectuate de către cercetătorii de securitate de la CyberArk , exploatarea cu succes a acestei vulnerabilități ar putea duce la compromiterea confidențialității datelor și realizarea unor acțiuni de tip lateral movement sau privilege escalation în cadrul rețelei.
Vulnerabilitatea, marcată ca CVE-2022-21893, afectează sistemele de operare Windows începând cu Windows Server 2012 R2 până la ultimele versiuni lansate. Dat fiind faptul că aceasta este ușor de exploatat, aceasta a fost catalogată de către Microsoft cu scorul de 7.7 din 10 pe scara CVSS.
Principiul de funcționare al serviciului RDS (Remote Desktop Services) constă în fragmentarea unei singuri conexiuni în multiple conexiuni logice numite virtual channels ce au rolul de a gestiona diferite tipuri de date. Unele canale sunt dedicate funcționalității de bază a serviciului RDP, cum ar fi datele grafice și cele de tip input, iar alte canale gestionează extensiile de protocol, precum clipboard-ul. Acestea reprezintă o metodă de comunicare între procesele din Windows și funcționează după modelul client/server.
Ambele părți specifică numele canalului sub forma \\.\pipe\name (pentru un server sau client care se conectează la un canal local) sau \\hostname\pipe\name (pentru un client care se conectează la un canal de la distanță). Atât clientul cât și serverul folosesc funcțiile WriteFile și ReadFile pentru a comunica după stabilirea conexiunii. În acest mecanism de comunicație, există un proces de tip server care gestionează clienții prin crearea mai multor instanțe de același tip, ceea ce înseamnă că procesul va apela CreateNamedPipe de mai multe ori cu același nume. Atunci când un client se conectează la un server, acesta se conectează de fapt la o instanță. Dacă există mai multe instanțe disponibile, clientul se va conecta la cea care a fost creat prima conform principiului FIFO (first in, first out).
Pentru a exploata această vulnerabilitate, cercetătorii de la CyberArk au prezentat următorul scenariu:
- Un atacator se conectează de la distanță la o stație de lucru prin RDP;
- Atacatorul listează canalele deschise și identifică denumirea completă a canalului TSVCPIPE;
- Atacatorul creează o instanță de tip server cu același nume și așteaptă o conexiune;
- După realizarea unei conexiuni, RDS va crea propria instanță de tip server pentru sesiunea stabilită și un canal client care va încerca să se conecteze la acesta;
- Datorită principiului FIFO, canalul client se va conecta la instanța server a atacatorului în locul celei create de RDS;
- Atacatorul se va conecta ca și client la instanța server RDS legitimă;
- Atacatorul va deține ambele capete ale conexiunii, ceea ce îi va permite să modifice datele similar atacului Man-in-the-Middle;
Se recomandă aplicarea ultimelor actualizări de securitate lansate de către compania Microsoft, având în vedere că aproape toate versiunile Windows sunt afectate.
Sursa: https://threatpost.com/windows-bug-rdp-exploit-unprivileged-users/177599/
